The version of FreeBSD installed on the remote host is prior to tested version. It is, therefore, affected by a vulnerability as referenced in the ad37a349-ebb7-11ec-b9f7-21427354249d advisory.

  - mitmproxy is an interactive, SSL/TLS-capable intercepting proxy. In mitmproxy 7.0.4 and below, a malicious     client or server is able to perform HTTP request smuggling attacks through mitmproxy. This means that a     malicious client/server could smuggle a request/response through mitmproxy as part of another     request/response's HTTP message body. While mitmproxy would only see one request, the target server would     see multiple requests. A smuggled request is still captured as part of another request's body, but it does     not appear in the request list and does not go through the usual mitmproxy event hooks, where users may     have implemented custom access control checks or input sanitization. Unless mitmproxy is used to protect     an HTTP/1 service, no action is required. The vulnerability has been fixed in mitmproxy 8.0.0 and above.
    There are currently no known workarounds. (CVE-2022-24766)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - mitmproxy is an interactive, SSL/TLS-capable intercepting proxy. In mitmproxy 7.0.4 and below, a malicious     client or server is able to perform HTTP request smuggling attacks through mitmproxy. This means that a     malicious client/server could smuggle a request/response through mitmproxy as part of another     request/response's HTTP message body. While mitmproxy would only see one request, the target server would     see multiple requests. A smuggled request is still captured as part of another request's body, but it does     not appear in the request list and does not go through the usual mitmproxy event hooks, where users may     have implemented custom access control checks or input sanitization. Unless mitmproxy is used to protect     an HTTP/1 service, no action is required. The vulnerability has been fixed in mitmproxy 8.0.0 and above.
    There are currently no known workarounds. (CVE-2022-24766)

Note that Nessus relies on the presence of the package as reported by the vendor.

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、ad37a349-ebb7-11ec-b9f7-21427354249d のアドバイザリに記載されている脆弱性の影響を受けます。

  - mitmproxy はインタラクティブであり、SSL/TLS 対応の傍受プロキシです。mitmproxy 7.0.4以前では、悪意のあるクライアントまたはサーバーが mitmproxy を通じて HTTP リクエストスマグリング攻撃を実行できます。これは、悪意のあるクライアント/サーバーが、mitmproxy を介するリクエスト/レスポンスを、別のリクエスト/レスポンスの HTTP メッセージ本文の一部として偽装する可能性があることを意味します。mitmproxy は 1 つのリクエストしか認識しませんが、ターゲットサーバーは複数のリクエストを認識します。偽装されたリクエストは、依然として別のリクエストの本文の一部としてキャプチャされますが、リクエストリストに表示されず、ユーザーがカスタムアクセスコントロールチェックまたは入力サニタイズを実装した可能性がある、通常の mitmproxy イベントフックを通過しません。mitmproxy を使用して HTTP/1 サービスを保護しない限り、アクションは不要です。この脆弱性は、mitmproxy 8.0.0以降で修正されています。
    現在、既知の回避策はありません。(CVE-2022-24766)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - mitmproxy はインタラクティブであり、SSL/TLS 対応の傍受プロキシです。mitmproxy 7.0.4以前では、悪意のあるクライアントまたはサーバーが mitmproxy を通じて HTTP リクエストスマグリング攻撃を実行できます。これは、悪意のあるクライアント/サーバーが、mitmproxy を介するリクエスト/レスポンスを、別のリクエスト/レスポンスの HTTP メッセージ本文の一部として偽装する可能性があることを意味します。mitmproxy は 1 つのリクエストしか認識しませんが、ターゲットサーバーは複数のリクエストを認識します。偽装されたリクエストは、依然として別のリクエストの本文の一部としてキャプチャされますが、リクエストリストに表示されず、ユーザーがカスタムアクセスコントロールチェックまたは入力サニタイズを実装した可能性がある、通常の mitmproxy イベントフックを通過しません。mitmproxy を使用して HTTP/1 サービスを保護しない限り、アクションは不要です。この脆弱性は、mitmproxy 8.0.0以降で修正されています。
    現在、既知の回避策はありません。(CVE-2022-24766)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - mitmproxy 是支援 SSL/TLS 的攔截代理伺服器。在 mitmproxy 7.0.4 及更舊版本中，惡意用戶端或伺服器可透過 mitmproxy 執行 HTTP 要求走私攻擊。這表示惡意用戶端/伺服器可透過 mitmproxy 將要求/回應走私為其他要求/回應之 HTTP 訊息內文的一部分。mitmproxy 只會看到一個要求，而目標伺服器會看到多個要求。仍會擷取走私要求作為其他要求內文的一部分，但它不會出現在要求清單中，也不會經歷通常的 mitmproxy 事件勾點，此時使用者可能已實作自訂存取控制檢查或輸入清理。除非使用 mitmproxy 來保護 HTTP/1 服務，否則不需要任何動作。此弱點已在 mitmproxy 8.0.0 和更高版本中修正。
    目前尚無已知的因應措施。(CVE-2022-24766)

請注意，Nessus 依賴供應商報告的套件存在。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - mitmproxy 是一种具有 SSL/TLS 功能的交互式拦截代理。在 mitmproxy 7.0.4 及更低版本中，恶意客户端或服务器可通过 mitmproxy 执行 HTTP 请求走私攻击。这意味着恶意客户端/服务器可通过 mitmproxy 走私一个请求/响应，作为另一个请求/响应的 HTTP 消息正文的一部分。尽管 mitmproxy 只会看到一个请求，但目标服务器会看到多个请求。走私的请求仍会被捕获为另一个请求正文的一部分，但它不会出现在请求列表中，也不会通过通常的 mitmproxy 事件挂钩（用户可能已经在其中实现自定义访问控制检查或输入审查）。除非使用 mitmproxy 来保护 HTTP/1 服务，否则无需任何操作。已在 mitmproxy 8.0.0 和更高版本中修复此漏洞。
    目前尚无已知的变通方案。(CVE-2022-24766)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
162509	FreeBSD : mitmproxy -- Insufficient Protection against HTTP Request Smuggling (ad37a349-ebb7-11ec-b9f7-21427354249d)	Nessus	FreeBSD Local Security Checks	2022/6/23	2022/6/23	critical
224511	Linux Distros Unpatched Vulnerability : CVE-2022-24766	Nessus	Misc.	2025/3/5	2025/8/31	critical
162509	FreeBSD : mitmproxy -- HTTP リクエストスマグリングに対する保護が不十分 (ad37a349-ebb7-11ec-b9f7-21427354249d)	Nessus	FreeBSD Local Security Checks	2022/6/23	2022/6/23	critical
224511	Linux Distros のパッチ未適用の脆弱性: CVE-2022-24766	Nessus	Misc.	2025/3/5	2025/8/31	critical
224511	Linux Distros 未修補弱點：CVE-2022-24766	Nessus	Misc.	2025/3/5	2025/8/31	critical
224511	Linux Distros 未修补的漏洞: CVE-2022-24766	Nessus	Misc.	2025/3/5	2025/8/31	critical

检测

插件搜索

critical

critical

critical

critical

critical

critical