Linux Distros 未修补的漏洞:CVE-2026-49844

medium Nessus 插件 ID 326435

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

- 在 Apache Log4j API 中进行 MapMessage JSON 序列化期间对非有限浮点值的不当编码会产生非有效 JSON 的输出。此问题会影响 Apache Log4j API 的所有2.25.4版本2.13.1和版本2.26.0。的 CVE-2026-34481 补丁并未涵盖所有代码路径:当 MapMessage 包含非有限 IEEE 754 值(NaN、Infinity 或 -Infinity)时,MapMessage.asJson() 会发出相应的裸标记。RFC 8259 不允许这些标记,因此合规的解析器会拒绝生成的文档。只有当以下两个条件都成立时,才能访问此缺陷:* 应用程序使用 JsonTemplateLayout 的消息解析器 https://logging.apache.org/log4j/2.x/manual/json-template-layout.html#event-template-resolver-message ,或依赖 MapMessage.asJson() 或 MapMessage.getFormattedMessage(new String[]{JSON}) 的任何其他布局。 * 应用程序记录的 MapMessage 包含攻击者控制的浮点值。能够提供非有限值的攻击者可造成受影响的布局发出畸形 JSON,从而损坏包含的日志记录或中断下游日志的摄取和解析。建议用户升级到 Apache Log4j API 2.25.5 或 2.26.1,两者均会针对非有限值发出符合 RFC 8259 的 JSON。(CVE-2026-49844)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://security-tracker.debian.org/tracker/CVE-2026-49844

https://ubuntu.com/security/CVE-2026-49844

插件详情

严重性: Medium

ID: 326435

文件名: unpatched_CVE_2026_49844.nasl

版本: 1.3

类型: Local

代理: unix

系列: Misc.

发布时间: 2026/7/13

最近更新时间: 2026/7/15

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

风险信息

VPR

风险因素: Medium

分数: 5

百分位: 94.12

CVSS v2

风险因素: Medium

基本分数: 5.4

时间分数: 4.6

矢量: CVSS2#AV:N/AC:H/Au:N/C:N/I:C/A:N

CVSS 分数来源: CVE-2026-49844

CVSS v3

风险因素: Medium

基本分数: 5.9

时间分数: 5.4

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

时间矢量: CVSS:3.0/E:U/RL:U/RC:C

CVSS v4

风险因素: Medium

Base Score: 6.3

Threat Score: 1.7

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N

漏洞信息

CPE: cpe:/o:debian:debian_linux:11.0, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:apache-log4j2, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:debian:debian_linux:apache-log4j2, cpe:/o:debian:debian_linux:13.0, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:debian:debian_linux:14.0, cpe:/o:debian:debian_linux:12.0, cpe:/o:canonical:ubuntu_linux:26.04:-:lts

必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier

易利用性: No known exploits are available

漏洞发布日期: 2026/7/10

参考资料信息

CVE: CVE-2026-49844