Amazon Linux 2023assertj-core、assertj-core-javadoc (ALAS2023-2026-1448)
high Nessus 插件 ID 301341
语言:
简介
远程 Amazon Linux 2023 主机缺少安全更新。描述
因此,它受到 ALAS2023-2026-1448 公告中提及的一个漏洞影响。AssertJ 为 Java 和 Java 虚拟机 (JVM) 提供 Fluent 测试断言。开始从 1.4.0 版到低于 3.27.7版的版本“org.assertj.core.util.xml.XmlStringPrettyFormatter”中存在一个 XML 外部实体 (XXE) 漏洞“toXmlDocument(String)”方法使用默认值初始化“DocumentBuilderFactory”设置,而不禁用 DTD 或外部实体。此格式化程序由“CharSequence”值的“isXmlEqualTo(CharSequence)”断言使用。仅当应用程序使用来自“org.assertj.core.api.AbstractCharSequenceAssert”的“isXmlEqualTo(CharSequence)”或来自“org.assertj.core.util.xml”的“xmlPrettyFormat(String)”的不可信 XML 输入时应用程序才容易受到影响。 XmlStringPrettyFormatter。如果这些方法的语气处理不受信任的 XML 输入则攻击者无法通过 `file://` URI例如 `/etc/passwd`、应用程序配置文件读取任意本地文件通过 HTTP/HTTPS URI 执行服务器端请求伪造 (SSRF) 和/或通过 Billion Laughs 实体扩展攻击造成拒绝服务。在 3.18.0 版本中已弃用“isXmlEqualTo(CharSequence)”以支持 XMLUnit此项将在 4.0版本中删除。受影响版本的用户应按优先顺序执行以下操作: 用 XMLUnit 替换“isXmlEqualTo(CharSequence)”升级到版本 3.27.7或是避免使用“isXmlEqualTo(CharSequence)”或“XmlStringPrettyFormatter”处理不受信任的输入。
“XmlStringPrettyFormatter”一向被视为“isXmlEqualTo(CharSequence)”的实用工具而非 AssertJ 用户的功能因此在版本 3.27.7 中已弃用并在版本 4.0中无替换删除。 (CVE-2026-24400)
Tenable 已直接从测试产品的安全公告中提取上述描述块。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“dnf update assertj-core --releasever 2023.10.20260302”或“dnf update --advisory ALAS2023-2026-1448 --releasever 2023.10.20260302”以更新系统。另见
https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1448.html
插件详情
严重性: High
ID: 301341
文件名: al2023_ALAS2023-2026-1448.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2026/3/6
最近更新时间: 2026/3/6
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.0
CVSS v2
风险因素: Medium
基本分数: 5.2
时间分数: 3.8
矢量: CVSS2#AV:L/AC:L/Au:S/C:C/I:N/A:P
CVSS 分数来源: CVE-2026-24400
CVSS v3
风险因素: Medium
基本分数: 6.1
时间分数: 5.3
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:L
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
风险因素: High
Base Score: 8.2
Threat Score: 5.5
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:L/SC:H/SI:N/SA:N
漏洞信息
CPE: cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:assertj-core, p-cpe:/a:amazon:linux:assertj-core-javadoc
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2026/3/5
漏洞发布日期: 2026/1/26
参考资料信息
CVE: CVE-2026-24400