Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在 Go 1.16.5 版以及之前的所有版本中，crypto/tls 程序包在执行基于 RSA 的密钥交换时，未正确断言 X.509 证书中的公钥类型符合预期类型，恶意 TLS 服务器会借此造成 TLS 客户端错误。(CVE-2021-34558)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2021: 4226 公告中提及的多个漏洞影响。

  - grafana：快照功能允许未经身份验证的远程攻击者通过远程 API 调用触发 DoS (CVE-2021-27358)

  - golang：crypto/elliptic：P-224 曲线操作错误 (CVE-2021-3114)

  - golang：net: lookup 函数可能返回无效的主机名 (CVE-2021-33195)

  - golang：net/http/httputil：如果第一个标头为空，则 ReverseProxy 会转发连接标头 (CVE-2021-33197)

  - golang：crypto/tls：类型错误的证书导致 TLS 客户端错误 (CVE-2021-34558)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Oracle Linux 8 主机上安装的程序包受到 ELSA-2021-4226 公告中提及的多个漏洞的影响。

  - 在 Go 1.14.14 之前以及 1.15.7 之前的 1.15.x 版本中，在 P-224 字段进行最终完整还原的过程中，crypto/elliptic/p224.go 可能会生成不正确的输出，这与最低分支下溢有关。
    (CVE-2021-3114)

  - 在 Go 1.16.5 版以及之前的所有版本中，crypto/tls 程序包在执行基于 RSA 的密钥交换时，未正确断言 X.509 证书中的公钥类型符合预期类型，恶意 TLS 服务器会借此造成 TLS 客户端错误。(CVE-2021-34558)

  - 在低于 1.15.13 的 Go 版本以及低于 1.16.5 的 1.16.x 版本中，用于 DNS 查找的函数未验证来自 DNS 服务器的回复，因此返回值可能包含不符合 RFC1035 格式的不安全注入（例如 XSS）。(CVE-2021-33195)

  - Grafana 6.7.3 至 7.4.1 中存在快照功能，如果已设置常用配置，未经身份验证的远程攻击者可利用此漏洞，通过远程 API 调用触发拒绝服务。
    (CVE-2021-27358)

  - 在 Go 语言 1.15.13 版本前以及 1.16.5 之前的 1.16.x 版本中，反向代理的部分配置（来自 net/http/httputil）导致攻击者能够终止任意标头。
    (CVE-2021-33197)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程主机上安装的 Splunk 版本低于测试版本。因此，该应用程序受到 SVD-2023-0808 公告中提及的一个漏洞影响。

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。由于包含嵌入空格的标记处理不当，导致可以通过 LDFLAGS 审查走私禁用的标记，方法则是将这些标记纳入另一个标记的参数中。这会影响 gccgo 编译器的使用。(CVE-2023-29405)

  - 低于 7.84.0 版的 curl 将 cookie、alt-svc 和 hsts 数据保存到本地文件时，会通过将临时名称重命名为最终目标文件名称来完成操作，从而使该操作成为原子型操作。在该重命名操作中，它可能会意外*放宽*对目标文件的权限，使更多用户可访问更新后的文件。(CVE-2022-32207)

  - decode-uri-component 0.2.0 版容易受到不当输入验证的影响，从而导致 DoS。(CVE-2022-38900)

  - Node.js 12.1.0 之前版本的 got 程序包（也已在 11.8.5 中修复）允许重定向到 UNIX 套接字。
    (CVE-2022-33987)

  - 在 webpack loader-utils 中，通过 parseQuery.js 中的名称变量，可在 parseQuery.js 的 parseQuery 函数中造成原型污染漏洞。这会影响 1.4.1 和 2.0.3 之前的所有版本。(CVE-2022-37601)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
223865	Linux Distros 未修补的漏洞: CVE-2021-34558	Nessus	Misc.	2025/3/5	2025/9/10	medium
155224	RHEL 8：grafana (RHSA-2021: 4226)	Nessus	Red Hat Local Security Checks	2021/11/11	2025/3/12	high
155406	Oracle Linux 8：grafana (ELSA-2021-4226)	Nessus	Oracle Linux Local Security Checks	2021/11/17	2024/10/22	high
194928	Splunk Enterprise 8.2.0 < 8.2.12、9.0.0 < 9.0.6、9.1.0 < 9.1.1 (SVD-2023-0808)	Nessus	CGI abuses	2024/5/2	2024/7/29	critical

检测

插件搜索

medium

high

high

critical