根据其自我报告的版本，远程主机上运行的 Tenable Security Center 版本为 6.3.0、6.4.0、6.4.5 或 6.5.1。因此，该软件受到 TNS-2025-04 公告中提及的多个漏洞影响。

  - 如果 curl 必须使用 HSTS，子域的到期时间可能会覆盖父域的缓存条目，导致其到期时间较预期提早或延迟。这会影响使用启用 HSTS 的应用程序，并且这些应用程序使用具有不安全 `HTTP://` 方案的 URL，并针对 `x.example.com` 和 `example.com` 之类的主机执行传输，其中第一个主机是第二个主机的子域。（HSTS 缓存要么需要手动填充，要么需要之前有过 HTTPS 访问，因为缓存中必须包含相关域名的条目才能触发此问题。）当 `x.example.com` 返回 `Strict-Transport-Security:` 标头时，此漏洞可能会导致子域名的过期超时时间*溢出*，并在 curl 的 HSTS 缓存中被错误地设置为父域名 `example.com` 的值。触发此错误的结果就是导致对 `example.com` 的 HTTP 访问转换为 HTTPS 访问，并且访问时段与源服务器所请求的时段不同。例如，如果 `example.com` 在到期时间后停止支持 HTTPS，则 curl 可能无法访问 `http://example.com`，直到（错误设置的）超时时间过期。此错误还有可能导致父项*提早*到期，从而造成 curl 无意中比预期更早切换回不安全的 HTTP。(CVE-2024-9681)

  - 使用字段多项式具有不受信任的显式值的低级 GF(2^m) 椭圆曲线 API 可导致越界内存读取或写入。(CVE-2024-9143)

  - 问题摘要：使用字段多项式具有不受信任的显式值的低级 GF(2^m) 椭圆曲线 API 可导致越界内存读取或写入。影响摘要：越界内存写入可导致应用程序崩溃，甚至可能导致远程代码执行，但是，在我们所知的涉及椭圆曲线加密的所有协议中，要么仅支持指定的曲线，要么如果支持显式曲线参数，则其针对无法表示有问题的输入值的二进制 (GF(2^m)) 曲线指定 X9.62 编码。因此，存在易受攻击的应用程序的可能性很低。特别是，X9.62 编码用于 X.509 证书中的 ECC 密钥，因此处理 X.509 证书的上下文中不会发生有问题的输入。任何有问题的用例必须使用异常曲线编码。受影响的 API 包括：
    EC_GROUP_new_curve_GF2m()、EC_GROUP_new_from_params() 和多个支持性 BN_GF2m_*() 函数。
    使用异常显式二进制 (GF(2^m)) 曲线参数的应用程序（通过上述 API 或类似 API 可以用零常数项表示无效的域多项式）可能会因外部读取或写入而突然终止数组边界。无法轻易排除执行远程代码的可能性。3.3、3.2、3.1 和 3.0 中的 FIPS 模块不受此问题影响。
    (CVE-2024-9143)

  - 当要求使用 `.netrc` 文件作为凭据并跟踪 HTTP 重定向时，curl 可能在某些情况下会将用于第一个主机的密码泄漏给后续主机。只有当 netrc 文件中的条目与重定向目标主机名相匹配，但该条目要么只省略了密码，要么同时省略了登录名和密码时，该漏洞才会出现。(CVE-2024-11053)

  - 问题摘要： ECDSA 签名计算中存在时序边信道，可能允许恢复私钥。影响摘要： ECDSA 签名计算中的时序边信道可以让攻击者恢复私钥。但是，测量时序需要对签名应用程序进行本地访问，或者需要具有低延迟且非常快速的网络连接。当 top word ofthe inverted ECDSA nonce 值为 0 时，会出现约 300 纳秒的计时信号。只有在某些受支持的椭圆曲线上发生这种情况的可能性才较大。尤其是 NIST P-521 曲线会受到影响。为了能够测量此泄漏，攻击者进程必须位于同一台物理计算机中，或必须具有低延迟的极快网络连接。因此，此漏洞的严重性为低危。3.4、3.3、3.2、3.1 和 3.0 中的 FIPS 模块受此问题影响。(CVE-2024-13176)

  - libcurl 的 ASN1 解析器具有用于解析 ASN.1 UTF-8 字符串的 utf8asn1str() 函数。它可以检测无效的字段并返回错误。但这样做会在 4 字节本地堆栈缓冲区中调用“free()”。大部分现代 malloc 实现会检测到此错误并立即中止。但是，有些接受输入指针并将该内存添加到其可用区块列表中。这会导致覆盖附近的堆栈内存。覆盖的内容由“free()”实现决定；可能是内存指针和一组标记。利用此缺陷的最可能结果是崩溃，尽管不排除在特殊情况下可以造成更严重结果的可能性。(CVE-2024-6197)

  - libcurl 的 URL API 函数 [curl_url_get()](https://curl.se/libcurl/c/curl_url_get.html) 提供 punycode 与 IDN 之间的转换。在使用 *macidn* IDN 后端时，libcurl 在要求转换正好为 256 字节的名称时，最终会读取基于堆栈的缓冲区之外的内容。然后，转换函数会准确填充所提供的缓冲区，但不会对字符串进行空值终止。此缺陷可导致堆栈内容意外作为已转换字符串的一部分返回。(CVE-2024-6874)

  - libcurl 的 ASN1 解析器代码包含 `GTime2str()` 函数，用于解析 ASN.1 通用时间字段。如果给定语法上不正确的字段，解析器最终可能会使用 -1 作为
    *时间部分*的长度，从而导致对指向非（特意）以 NULL 结尾的堆缓冲区区域的指针执行 `strlen()`。此缺陷最有可能造成系统崩溃，但如果使用 [CURLINFO_CERTINFO](https://curl.se/libcurl/c/CURLINFO_CERTINFO.html)，也会导致系统将堆内容返回给应用程序。(CVE-2024-7264)

  - curl 需要使用证书状态请求 TLS 扩展（通常称为“OCSP Stapling”）来验证服务器证书是否有效时，可能无法检测一些 OCSP 问题，而是误将响应视为正常。如果返回的状态报告除“已撤销”错误之外的其他错误（例如“未经授权”），则不会将其视为不良证书。(CVE-2024-8096)

  - 当要求使用 `.netrc` 文件作为凭据 ** 和 ** 跟踪 HTTP 重定向时，curl 可能在某些情况下会将用于第一个主机的密码泄漏给后续主机。此缺陷仅在 netrc 文件具有会忽略登录名和密码的“default”条目时自行出现。罕见情况。(CVE-2025-0167)

  - 在完成线程名称解析之后断开连接通道时，libcurl 会两次错误地关闭相同的 eventfd 文件描述符。(CVE-2025-0665)

  - 当要求 libcurl 对使用 `CURLOPT_ACCEPT_ENCODING` 选项的内容编码的 HTTP 响应执行自动 gzip 解压缩时，**使用 zlib 1.2.0.3 或更早版本**，由攻击者控制的整数溢出漏洞会使 libcurl 执行缓冲区溢出。(CVE-2025-0725)

  - 在 PHP 中，8.1之前的 8.1.32.*、8.2.28 之前的 8.2.*、8.3.19 之前的 8.3.* 、8.4.5 之前的 8.4.* 在 http 请求模块解析从服务器获取的 HTTP 响应时，折叠标头解析不正确，这可能导致曲解响应和使用错误的标头、MIME 类型等。
    (CVE-2025-1217)

  在 PHP 中，8.1之前的 8.1.32.*、8.2.28 之前的 8.2.*、8.3.19 之前的 8.3.* 、8.4.5 之前的 8.4.*，使用 DOM 或 SimpleXML 扩展请求 HTTP 资源时，如果所请求的资源执行重定向，则错误的“content-type”标头会用于确定字符集。这可能造成错误地解析生成的文档或绕过验证。(CVE-2025-1219)

  - 在 PHP 中，8.1之前的 8.1.32.*、8.2.28 之前的 8.2.*、8.3.19 之前的 8.3.* 、8.4.5 之前的 8.4.*，从 HTTP 服务器接收标头时，标头缺少冒号 (:) 的电子邮件标题被视为有效标头，即使它们不是有效标头。这可使应用程序混淆而接受无效标头。
    (CVE-2025-1734)

  - 在 PHP 中，8.1之前的 8.1.32.*、8.2.28 之前的 8.2.*、8.3.19 之前的 8.3.* 、8.4.5 之前的 8.4.*，发送用户提供的标头时，不充分验证的行尾字符可能会阻止发送某些标头或导致某些标头被错误解释。(CVE-2025-1736)

  - 在 PHP 中，8.1之前的 8.1.32.*、8.2.28 之前的 8.2.*、8.3.19 之前的 8.3.* 、8.4.5 之前的 8.4.*，解析 HTTP 请求的响应中的 HTTP 重定向时中，当前存在位置值大小的限制，这是因为位置缓冲区的大小不能超过 1024 而造成的。然而，根据 RFC9110，建议将限制设为 8000。这可导致错误的 URL 截断和重定向到错误的位置。(CVE-2025-1861)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上运行的 Nessus Network Monitor 版本低于 6.5.1 版。因此，该软件受到 TNS-2025-10 公告中提及的多个漏洞影响。

  - 在 2.13.8 之前的 libxml2 和 2.14.2 之前的 2.14.x 中，xmlschemas.c 中的 xmlSchemaIDCFillNodeTables 存在基于堆的缓冲区读取不足问题。要利用此问题，必须根据包含特定身份限制的 XML 方案对特制的 XML 文档进行验证，或者必须使用特制的 XML 方案。(CVE-2025-32415)

  - 将 Tenable Network Monitor 安装到 Windows 主机上的非默认位置时，低于 6.5.1 的 Tenable Network Monitor 版本未强制执行子目录安全权限。如果用户未保护非默认安装位置中的目录，可允许本地权限升级。(CVE-2025-24916)

  - 在 Windows 主机上的 Tenable Network Monitor 6.5.1 之前的版本中，发现非管理用户可通过转储本地目录中的文件以 SYSTEM 权限运行任意代码，从而可能导致本地权限升级。(CVE-2025-24917)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的 macOS/Mac OS X 版本为低于 13.7.5 的 13.x。因此，该应用程序受到多个漏洞影响：

  - 已通过改进的内存管理解决释放后使用问题。此问题已在 visionOS 2.3、iOS 18.3 和 iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3、tvOS 18.3 中修复。恶意应用程序或许能利用此问题来提升特权。Apple 从报告中获悉，可能已有人针对 iOS 17.2 之前的 iOS 版本主动利用此问题。(CVE-2025-24085)

  - 已通过改进协议处理解决此问题。此问题已在 macOS Ventura 13.7.5、macOS Sonoma 14.7.5 中修复。处于特权网络位置的攻击者可以跟踪用户的活动。
    (CVE-2024-40864)

  - 已通过额外的沙盒限制解决此权限问题。此问题已在 macOS Ventura 13.7.5、macOS Sonoma 14.7.5 中修复。应用程序或可访问敏感用户数据。(CVE-2024-54533)

  - 对于 libxml2 2.12.10 之前的版本和 2.13.6 之前的 2.13.x 版，xmlschemas.c 中的 xmlSchemaIDCFillNodeTables 和 xmlSchemaBubbleIDCNodeTables 存在释放后使用。要利用此问题，必须根据包含特定身份限制的 XML 方案对构建的 XML 文档进行验证，或者必须使用构建的 XML 方案。
    (CVE-2024-56171)

  - 如果 curl 必须使用 HSTS，子域的到期时间可能会覆盖父域的缓存条目，导致其到期时间较预期提早或延迟。这会影响使用启用 HSTS 的应用程序，并且这些应用程序使用具有不安全 `HTTP://` 方案的 URL，并针对 `x.example.com` 和 `example.com` 之类的主机执行传输，其中第一个主机是第二个主机的子域。（HSTS 缓存要么需要手动填充，要么需要之前有过 HTTPS 访问，因为缓存中必须包含相关域名的条目才能触发此问题。）当 `x.example.com` 返回 `Strict-Transport-Security:` 标头时，此漏洞可能会导致子域名的过期超时时间*溢出*，并在 curl 的 HSTS 缓存中被错误地设置为父域名 `example.com` 的值。触发此错误的结果就是导致对 `example.com` 的 HTTP 访问转换为 HTTPS 访问，并且访问时段与源服务器所请求的时段不同。例如，如果 `example.com` 在到期时间后停止支持 HTTPS，则 curl 可能无法访问 `http://example.com`，直到（错误设置的）超时时间过期。此错误还有可能导致父项*提早*到期，从而造成 curl 无意中比预期更早切换回不安全的 HTTP。(CVE-2024-9681)

请注意，Nessus 并未测试这些问题，而是只依据操作系统自我报告的版本号进行判断。

因此，该程序受到 ALAS2023-2025-1043 公告中提及的一个漏洞影响。

    如果 curl 必须使用 HSTS，子域的到期时间可能会覆盖父域的缓存条目，导致其到期时间较预期提早或延迟。

    这会影响使用启用 HSTS 的应用程序，并且这些应用程序使用具有不安全 `HTTP://` 方案的 URL，并针对 `x.example.com` 和 `example.com` 之类的主机执行传输，其中第一个主机是第二个主机的子域。

    (HSTS 缓存需要手动填充，或之前已完成 HTTPS 访问，原因是缓存需要包含所涉及域的相关条目才能触发此问题。)

    当 `x.example.com` 使用 `Strict-Transport-Security:` 标头做出响应时，此错误可导致子域的到期超时*溢出*，并在 curl 的 HSTS 缓存中被设置为父域 `example.com` 执行相关设置。

    触发此错误的结果就是导致对 `example.com` 的 HTTP 访问转换为 HTTPS 访问，并且访问时段与源服务器所请求的时段不同。例如，如果 `example.com` 在到期时间后停止支持 HTTPS，则 curl 可能无法访问 `http://example.com`，直到 (错误设置的) 超时时间过期。此错误还有可能导致父项*提早*到期，从而造成 curl 无意中比预期更早切换回不安全的 HTTP。(CVE-2024-9681)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Curl 版本介于 7.74.0 至 8.10.1 之间，因此，当 HTTPS 不再有效时，它受到潜在次要 DoS 安全问题的影响，或受到本应可能受到保护的数据的明文传输的影响。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 curl 版本低于 8.3.0-1。因此，它受到 ALAS2-2025-2724 公告中提及的一个漏洞影响。

    如果 curl 必须使用 HSTS，子域的到期时间可能会覆盖父域的缓存条目，导致其到期时间较预期提早或延迟。

    这会影响使用启用 HSTS 的应用程序，并且这些应用程序使用具有不安全 `HTTP://` 方案的 URL，并针对 `x.example.com` 和 `example.com` 之类的主机执行传输，其中第一个主机是第二个主机的子域。

    (HSTS 缓存需要手动填充，或之前已完成 HTTPS 访问，原因是缓存需要包含所涉及域的相关条目才能触发此问题。)

    当 `x.example.com` 使用 `Strict-Transport-Security:` 标头做出响应时，此错误可导致子域的到期超时*溢出*，并在 curl 的 HSTS 缓存中被设置为父域 `example.com` 执行相关设置。

    触发此错误的结果就是导致对 `example.com` 的 HTTP 访问转换为 HTTPS 访问，并且访问时段与源服务器所请求的时段不同。例如，如果 `example.com` 在到期时间后停止支持 HTTPS，则 curl 可能无法访问 `http://example.com`，直到 (错误设置的) 超时时间过期。此错误还有可能导致父项*提早*到期，从而造成 curl 无意中比预期更早切换回不安全的 HTTP。(CVE-2024-9681)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

移动设备上运行的 Apple iOS 版本低于 18.4。因此，它受到多个漏洞的影响。

远程 Azure Linux 3.0 主机上安装的 cmake / curl / mysql / rust 版本低于 测试的 版本。因此，该程序受到 CVE-2024-9681 公告中提及的一个漏洞影响。

  - 如果 curl 必须使用 HSTS，子域的到期时间可能会覆盖父域的缓存条目，导致其到期时间较预期提早或延迟。这会影响使用启用 HSTS 的应用程序，并且这些应用程序使用具有不安全 `HTTP://` 方案的 URL，并针对 `x.example.com` 和 `example.com` 之类的主机执行传输，其中第一个主机是第二个主机的子域。（HSTS 缓存要么需要手动填充，要么需要之前有过 HTTPS 访问，因为缓存中必须包含相关域名的条目才能触发此问题。）当 `x.example.com` 返回 `Strict-Transport-Security:` 标头时，此漏洞可能会导致子域名的过期超时时间*溢出*，并在 curl 的 HSTS 缓存中被错误地设置为父域名 `example.com` 的值。触发此错误的结果就是导致对 `example.com` 的 HTTP 访问转换为 HTTPS 访问，并且访问时段与源服务器所请求的时段不同。例如，如果 `example.com` 在到期时间后停止支持 HTTPS，则 curl 可能无法访问 `http://example.com`，直到（错误设置的）超时时间过期。此错误还有可能导致父项*提早*到期，从而造成 curl 无意中比预期更早切换回不安全的 HTTP。(CVE-2024-9681)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Ubuntu 22.04 LTS 主机上安装的程序包受到 USN-7104-1 公告中提及一个漏洞影响。

    发现 curl 可能会使用子域的 HSTS 条目覆盖父域的 HSTS 期限。这可能导致 curl 比预期更早切换回不安全的 HTTP，进而造成信息泄露。

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Splunk 版本低于测试版本。因此，它受到 SVD-2024-0303 公告中提及的一个漏洞影响。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 当 curl 被要求使用 HSTS 时，子域的到期时间可能会覆盖父域的缓存条目，使其结束比预期更早或更晚。这会影响使用启用 HSTS 的应用程序的 curl 并将 URL 用于不安全的“HTTP://”方案，并通过“x.example.com”以及“example.com”之类的主机执行传输，其中第一个主机是 的子域第二台主机。（HSTS 缓存需已手动填充，或之前已完成 HTTPS 访问，因为缓存需要具有触发此问题所涉及域的条目。）当“x.example.com”以“严格”响应时-Transport-Security：` 标头中，此缺陷可使子域的到期超时*溢出* 并针对 curl 的 HSTS 缓存中的父域“example.com”进行设置。一个触发型缺陷的结果是对 `example.com` 的 HTTP 访问转换为 HTTPS，其转换的时间与源服务器请求的时间不同。如果“example.com”在其到期时间停止支持 HTTPS，curl 可能会无法访问 `http://example.com` ，直到（错误设置的）超时到期。此缺陷还可以*提前*使父条目到期，从而造成 curl 无意间比预期更早切换回不安全的 HTTP。 (CVE-2024-9681)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程主机上运行的 macOS/Mac OS X 版本为低于 14.7.5 的 14.x。因此，该应用程序受到多个漏洞影响：

  - 已通过改进的内存管理解决释放后使用问题。此问题已在 visionOS 2.3、iOS 18.3 和 iPadOS 18.3、macOS Sequoia 15.3、watchOS 11.3、tvOS 18.3 中修复。恶意应用程序或许能利用此问题来提升特权。Apple 从报告中获悉，可能已有人针对 iOS 17.2 之前的 iOS 版本主动利用此问题。(CVE-2025-24085)

  - 已通过改进协议处理解决此问题。此问题已在 macOS Ventura 13.7.5、macOS Sonoma 14.7.5 中修复。处于特权网络位置的攻击者可以跟踪用户的活动。
    (CVE-2024-40864)

  - 已通过额外的沙盒限制解决此权限问题。此问题已在 macOS Ventura 13.7.5、macOS Sonoma 14.7.5 中修复。应用程序或可访问敏感用户数据。(CVE-2024-54533)

  - 对于 libxml2 2.12.10 之前的版本和 2.13.6 之前的 2.13.x 版，xmlschemas.c 中的 xmlSchemaIDCFillNodeTables 和 xmlSchemaBubbleIDCNodeTables 存在释放后使用。要利用此问题，必须根据包含特定身份限制的 XML 方案对构建的 XML 文档进行验证，或者必须使用构建的 XML 方案。
    (CVE-2024-56171)

  - 如果 curl 必须使用 HSTS，子域的到期时间可能会覆盖父域的缓存条目，导致其到期时间较预期提早或延迟。这会影响使用启用 HSTS 的应用程序，并且这些应用程序使用具有不安全 `HTTP://` 方案的 URL，并针对 `x.example.com` 和 `example.com` 之类的主机执行传输，其中第一个主机是第二个主机的子域。（HSTS 缓存要么需要手动填充，要么需要之前有过 HTTPS 访问，因为缓存中必须包含相关域名的条目才能触发此问题。）当 `x.example.com` 返回 `Strict-Transport-Security:` 标头时，此漏洞可能会导致子域名的过期超时时间*溢出*，并在 curl 的 HSTS 缓存中被错误地设置为父域名 `example.com` 的值。触发此错误的结果就是导致对 `example.com` 的 HTTP 访问转换为 HTTPS 访问，并且访问时段与源服务器所请求的时段不同。例如，如果 `example.com` 在到期时间后停止支持 HTTPS，则 curl 可能无法访问 `http://example.com`，直到（错误设置的）超时时间过期。此错误还有可能导致父项*提早*到期，从而造成 curl 无意中比预期更早切换回不安全的 HTTP。(CVE-2024-9681)

请注意，Nessus 并未测试这些问题，而是只依据操作系统自我报告的版本号进行判断。

远程主机上运行的 macOS/Mac OS X 版本为低于 15.4 的 15.x。因此，该软件受到多个漏洞的影响：

  - 在 3.7.5 之前的 libarchive 中，archive_read_support_format_rar.c 中的 execute_filter_delta 允许通过特制的存档文件进行越界访问，因为 src 可以移动到 dst 之外。(CVE-2024-48958)

  - Python 3.11.3 及其之前所有版本的电子邮件模块不会正确解析包含特殊字符的电子邮件地址。RFC2822 标头的错误部分会被识别为 addr-spec 的值。在某些应用程序中，攻击者可以绕过保护机制，而在保护机制中，只有验证收到发送至特定域的电子邮件后才会授予应用程序访问权限（例如，只有 @company.example.com 地址可用于注册）。最新版 Python 的 email/_parseaddr.py 中存在此问题。(CVE-2023-27043)

  - 对于 libxml2 2.12.10 之前的版本和 2.13.6 之前的 2.13.x 版，xmlschemas.c 中的 xmlSchemaIDCFillNodeTables 和 xmlSchemaBubbleIDCNodeTables 存在释放后使用。要利用此问题，必须根据包含特定身份限制的 XML 方案对构建的 XML 文档进行验证，或者必须使用构建的 XML 方案。
    (CVE-2024-56171)

  - 如果 curl 必须使用 HSTS，子域的到期时间可能会覆盖父域的缓存条目，导致其到期时间较预期提早或延迟。这会影响使用启用 HSTS 的应用程序，并且这些应用程序使用具有不安全 `HTTP://` 方案的 URL，并针对 `x.example.com` 和 `example.com` 之类的主机执行传输，其中第一个主机是第二个主机的子域。（HSTS 缓存要么需要手动填充，要么需要之前有过 HTTPS 访问，因为缓存中必须包含相关域名的条目才能触发此问题。）当 `x.example.com` 返回 `Strict-Transport-Security:` 标头时，此漏洞可能会导致子域名的过期超时时间*溢出*，并在 curl 的 HSTS 缓存中被错误地设置为父域名 `example.com` 的值。触发此错误的结果就是导致对 `example.com` 的 HTTP 访问转换为 HTTPS 访问，并且访问时段与源服务器所请求的时段不同。例如，如果 `example.com` 在到期时间后停止支持 HTTPS，则 curl 可能无法访问 `http://example.com`，直到（错误设置的）超时时间过期。此错误还有可能导致父项*提早*到期，从而造成 curl 无意中比预期更早切换回不安全的 HTTP。(CVE-2024-9681)

  - 已通过额外限制解决此权限问题。此问题已在 macOS Ventura 13.7.3、macOS Sonoma 14.7.3 中修复。应用程序可能会在未经用户同意的情况下访问可移动卷。
    (CVE-2025-24093)

请注意，Nessus 并未测试这些问题，而是只依据操作系统自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
234507	Tenable Security Center 多个漏洞 (TNS-2025-04)	Nessus	Misc.	2025/4/16	2025/4/16	high
237289	Nessus Network Monitor < 6.5.1 多个漏洞 (TNS-2025-10)	Nessus	Misc.	2025/5/27	2025/5/30	high
233569	macOS 13.x < 13.7.5 多个漏洞 (122375)	Nessus	MacOS X Local Security Checks	2025/3/31	2025/8/5	high
240304	Amazon Linux 2023：curl、curl-minimal、libcurl (ALAS2023-2025-1043)	Nessus	Amazon Linux Local Security Checks	2025/6/23	2025/6/23	medium
210585	Curl 7.74.0 < 8.10.1 输入错译 (CVE-2024-9681)	Nessus	Misc.	2024/11/8	2024/12/13	medium
213673	Amazon Linux 2: curl (ALAS-2025-2724)	Nessus	Amazon Linux Local Security Checks	2025/1/9	2025/1/16	medium
233571	Apple iOS < 18.4 多个漏洞 (122371)	Nessus	Mobile Devices	2025/3/31	2025/8/5	high
215540	Azure Linux 3.0 安全更新cmake / curl / mysql / rust (CVE-2024-9681)	Nessus	Azure Linux Local Security Checks	2025/2/10	2025/2/22	medium
211514	Ubuntu 22.04 LTS：curl 漏洞 (USN-7104-1)	Nessus	Ubuntu Local Security Checks	2024/11/18	2024/12/13	medium
194923	Splunk Enterprise 9.0.0 < 9.0.9、9.1.0 < 9.1.4、9.2.0 < 9.2.1 (SVD-2024-0303)	Nessus	CGI abuses	2024/5/2	2025/5/12	critical
230335	Linux Distros 未修补的漏洞: CVE-2024-9681	Nessus	Misc.	2025/3/6	2025/8/30	medium
233570	macOS 14.x < 14.7.5 多个漏洞 (122374)	Nessus	MacOS X Local Security Checks	2025/3/31	2025/8/5	high
233568	macOS 15.x < 15.4 多个漏洞 (122373)	Nessus	MacOS X Local Security Checks	2025/3/31	2025/8/5	high

检测

插件搜索

high

high

high

medium

medium

medium

high

medium

medium

critical

medium

high

high