遠端 Debian 11 主機安裝了一個受到 dla-4214 公告中提及的多個弱點影響的套件。

    - ------------------------------------------------- ------------------------ Debian LTS 公告 DLA-4214-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Adrian Bunk 2025 年 6 月 11 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    套件 版本 2.1.3-0+deb11u1 CVE ID CVE-2024-12905 CVE-2025-48387 Debian 錯誤 1101501

    路徑遊走已在 node-tar-fs 中修正這是一個 Node.js 模組可提供對 tar 檔案的類似檔案系統的存取權。

    CVE-2024-12905

        符號連結路徑遊走

    CVE-2025-48387

        固定連結路徑遊走

    針對 Debian 11 Bullseye這些問題已在 2.1.3-0+deb11u1 版本中修正。

    建議您升級 node-tar-fs 套件。

    如需 node-tar-fs 的詳細安全性狀態請參閱其安全性追踪頁面
    https://security-tracker.debian.org/tracker/node-tar-fs

    有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱 : https://wiki.debian.org/LTS

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

远程 Debian 11 主机上安装有一个安装的程序包该程序包受到 dla-4214 公告中提及的多个漏洞的影响。

    - ------------------------------------------------- ------------------------ Debian LTS 公告 DLA-4214-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Adrian Bunk 2025 年 6 月 11 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    程序包node-tar-fs 版本2.1.3-0+deb11u1 CVE ID CVE-2024-12905 CVE-2025-48387 Debian 缺陷1101501

    已修复 node-tar-fs这是一个提供对 tar 文件类似文件系统访问的 Node.js 模块中的路径遍历。

    CVE-2024-12905

        符号链接路径遍历

    CVE-2025-48387

        硬链接路径遍历

    对于 Debian 11 Bullseye已在版本 2.1.3-0+deb11u1 中修复这些问题。

    我们建议您升级 node-tar-fs 程序包。

    有关 node-tar-fs 的详细安全状态请参阅其安全跟踪页面网址
    https://security-tracker.debian.org/tracker/node-tar-fs

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTS

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

遠端主機上執行的 Atlassian Confluence Server 版本受到 CONFSERVER-101479 公告中所提及的一個弱點影響。

  - tar-fs 提供適用於 tar-stream 的檔案系統系結。 3.0.9、 2.1.3和 1.16.5 之前的版本有一個問題即擷取程式可以使用特定 tarball 在指定目錄之外寫入。此問題已在 3.0.9、 2.1.3和 1.16.5版中修補。因應措施為使用忽略選項忽略非檔案/目錄。 (CVE-2025-48387)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - tar-fs 提供適用於 tar-stream 的檔案系統系結。 3.0.9、 2.1.3和 1.16.5 之前的版本有一個問題即擷取程式可以使用特定 tarball 在指定目錄之外寫入。此問題已在 3.0.9、 2.1.3和 1.16.5版中修補。可使用忽略選項來忽略非檔案/目錄作為因應措施。 (CVE-2025-48387)

請注意，Nessus 依賴供應商報告的套件存在。

远程主机上运行的 Atlassian Confluence Server 版本受到公告 CONFSERVER-101479 中提及的漏洞的影响。

  - tar-fs 为 tar-stream 提供文件系统绑定。低于 3.0.9、 2.1.3和 1.16.5 的版本存在一个问题即提取可在具有特定 tarball 的指定目录外写入。已在版本 3.0.9、 2.1.3和 1.16.5中修复此问题。变通方案为使用忽略选项忽略非文件/目录。 (CVE-2025-48387)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - tar-fs 为 tar-stream 提供文件系统绑定。低于 3.0.9、 2.1.3和 1.16.5 的版本存在一个问题即提取可在具有特定 tarball 的指定目录外写入。已在版本 3.0.9、 2.1.3和 1.16.5中修复此问题。变通方案为使用忽略选项忽略非文件/目录。 (CVE-2025-48387)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

リモートの Fedora 41 ホストには、FEDORA-2025-ad2565414f のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    CVE-2025-48387 を修正します。

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートのDebian 11ホストには、dla-4214アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    - -------------------------------------------------- -------------------------- Debian LTS アドバイザリ DLA-4214-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Adrian Bunk 2025 年 6 月 11 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    パッケージnode-tar-fs バージョン2.1.3-0+deb11u1 CVE ID CVE-2024-12905 CVE-2025-48387 Debian バグ1101501

    パストラバーサルは、tar ファイルへのファイルシステムのようなアクセスを提供する Node.js モジュールである node-tar-fs で修正されました。

    CVE-2024-12905

        シンボリックリンクパストラバーサル

    CVE-2025-48387

        ハードリンクパストラバーサル

    Debian 11 Bullseyeでは、これらの問題はバージョン2.1.3-0+deb11u1で修正されました。

    node-tar-fs パッケージをアップグレードすることを推奨します。

    node-tar-fs の詳細なセキュリティステータスについては、次のセキュリティトラッカーページを参照してください
    https://security-tracker.debian.org/tracker/node-tar-fs

    Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストで実行されているAtlassian Confluence Serverのバージョンは、CONFSERVER-101479アドバイザリに記載されている脆弱性の影響を受けます。

  - tar-fs は tar-stream にファイルシステムバインディングを提供します。 3.0.9、 2.1.3、 1.16.5 より前のバージョンには、抽出物が特定の tarball を持つ指定された dir の外部に書き込む可能性がある問題があります。これは、バージョン 3.0.9、 2.1.3、および 1.16.5でパッチされています。回避策として、[無視] オプションを使用して非ファイル/ディレクトリを無視してください。CVE-2025-48387

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - tar-fs は tar-stream にファイルシステムバインディングを提供します。 3.0.9、 2.1.3、 1.16.5 より前のバージョンには、抽出物が特定の tarball を持つ指定された dir の外部に書き込む可能性がある問題があります。これは、バージョン 3.0.9、 2.1.3、および 1.16.5でパッチされています。回避策として、[無視] オプションを使用して非ファイル/ディレクトリを無視してください。CVE-2025-48387

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートの Fedora 42 ホストには、FEDORA-2025-732290e75c のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    CVE-2025-48387 を修正します。

Tenable は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

The remote Fedora 41 host has a package installed that is affected by multiple vulnerabilities as referenced in the FEDORA-2025-ad2565414f advisory.

    Fix CVE-2025-48387.

Tenable has extracted the preceding description block directly from the Fedora security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The remote Debian 11 host has a package installed that is affected by multiple vulnerabilities as referenced in the dla-4214 advisory.

    - -------------------------------------------------------------------------     Debian LTS Advisory DLA-4214-1                debian-lts@lists.debian.org     https://www.debian.org/lts/security/                          Adrian Bunk     June 11, 2025                                 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    Package        : node-tar-fs     Version        : 2.1.3-0+deb11u1     CVE ID         : CVE-2024-12905 CVE-2025-48387     Debian Bug     : 1101501

    Path traversal has been fixed in node-tar-fs, a Node.js module that     provides filesystem-like access to tar files.

    CVE-2024-12905

        symlink path traversal

    CVE-2025-48387

        hardlink path traversal

    For Debian 11 bullseye, these problems have been fixed in version     2.1.3-0+deb11u1.

    We recommend that you upgrade your node-tar-fs packages.

    For the detailed security status of node-tar-fs please refer to     its security tracker page at:
    https://security-tracker.debian.org/tracker/node-tar-fs

    Further information about Debian LTS security advisories, how to apply     these updates to your system and frequently asked questions can be     found at: https://wiki.debian.org/LTS

Tenable has extracted the preceding description block directly from the Debian security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The remote Fedora 42 host has a package installed that is affected by multiple vulnerabilities as referenced in the FEDORA-2025-732290e75c advisory.

    Fix CVE-2025-48387.

Tenable has extracted the preceding description block directly from the Fedora security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The version of reaper installed on the remote CBL Mariner 2.0 host is prior to tested version. It is, therefore, affected by a vulnerability as referenced in the CVE-2025-48387 advisory.

  - tar-fs provides filesystem bindings for tar-stream. Versions prior to 3.0.9, 2.1.3, and 1.16.5 have an     issue where an extract can write outside the specified dir with a specific tarball. This has been patched     in versions 3.0.9, 2.1.3, and 1.16.5. As a workaround, use the ignore option to ignore non     files/directories. (CVE-2025-48387)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The version of Atlassian Confluence Server running on the remote host is affected by a vulnerability as referenced in the CONFSERVER-101479 advisory.

  - tar-fs provides filesystem bindings for tar-stream. Versions prior to 3.0.9, 2.1.3, and 1.16.5 have an     issue where an extract can write outside the specified dir with a specific tarball. This has been patched     in versions 3.0.9, 2.1.3, and 1.16.5. As a workaround, use the ignore option to ignore non     files/directories. (CVE-2025-48387)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - tar-fs provides filesystem bindings for tar-stream. Versions prior to 3.0.9, 2.1.3, and 1.16.5 have an     issue where an extract can write outside the specified dir with a specific tarball. This has been patched     in versions 3.0.9, 2.1.3, and 1.16.5. As a workaround, use the ignore option to ignore non     files/directories. (CVE-2025-48387)

Note that Nessus relies on the presence of the package as reported by the vendor.

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
238247	Debian dla-4214node-tar-fs - 安全性更新	Nessus	Debian Local Security Checks	2025/6/11	2025/6/11	high
238247	Debian dla-4214node-tar-fs - 安全更新	Nessus	Debian Local Security Checks	2025/6/11	2025/6/11	high
282323	Atlassian Confluence < 8.5.10 / 8.6.x < 9.2.5 / 9.3.x < 9.3.1 / 9.4.x < 9.5.1 / 10.0.x < 10.0.2 (CONFSERVER-101479)	Nessus	CGI abuses	2026/1/7	2026/1/7	high
248176	Linux Distros 未修補的弱點：CVE-2025-48387	Nessus	Misc.	2025/8/11	2026/4/29	high
282323	Atlassian Confluence < 8.5.10 / 8.6.x < 9.2.5 / 9.3.x < 9.3.1 / 9.4.x < 9.5.1 / 10.0.x < 10.0.2 (CONFSERVER-101479)	Nessus	CGI abuses	2026/1/7	2026/1/7	high
248176	Linux Distros 未修补的漏洞：CVE-2025-48387	Nessus	Misc.	2025/8/11	2026/4/29	high
238420	Fedora 41yarnpkg2025-ad2565414f	Nessus	Fedora Local Security Checks	2025/6/13	2025/6/13	high
238247	Debian dla-4214node-tar-fs - セキュリティ更新	Nessus	Debian Local Security Checks	2025/6/11	2025/6/11	high
282323	Atlassian Confluence < 8.5.10 / 8.6.x < 9.2.5 / 9.3.x < 9.3.1 / 9.4.x < 9.5.1 / 10.0.x < 10.0.2 CONFSERVER-101479	Nessus	CGI abuses	2026/1/7	2026/1/7	high
248176	Linux Distros のパッチ未適用の脆弱性: CVE-2025-48387	Nessus	Misc.	2025/8/11	2026/4/29	high
238370	Fedora 42yarnpkg2025-732290e75c	Nessus	Fedora Local Security Checks	2025/6/12	2025/6/12	high
238420	Fedora 41 : yarnpkg (2025-ad2565414f)	Nessus	Fedora Local Security Checks	2025/6/13	2025/6/13	high
238247	Debian dla-4214 : node-tar-fs - security update	Nessus	Debian Local Security Checks	2025/6/11	2025/6/11	high
238370	Fedora 42 : yarnpkg (2025-732290e75c)	Nessus	Fedora Local Security Checks	2025/6/12	2025/6/12	high
241878	CBL Mariner 2.0 Security Update: reaper (CVE-2025-48387)	Nessus	MarinerOS Local Security Checks	2025/7/11	2025/7/11	high
282323	Atlassian Confluence < 8.5.10 / 8.6.x < 9.2.5 / 9.3.x < 9.3.1 / 9.4.x < 9.5.1 / 10.0.x < 10.0.2 (CONFSERVER-101479)	Nessus	CGI abuses	2026/1/7	2026/1/7	high
248176	Linux Distros Unpatched Vulnerability : CVE-2025-48387	Nessus	Misc.	2025/8/11	2026/4/29	high

检测

插件搜索

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high