Linux Distros 未修补的漏洞:CVE-2026-33672
medium Nessus 插件 ID 304000
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Picomaatch 是一种以 JavaScript 编写的 glob 匹配器。低于 4.0.4、 3.0.2和 2.3.2 的版本容易受到方法注入漏洞的影响并且会影响“POSIX_REGEX_SOURCE”对象。由于从 `Object.prototype` 继承的对象因此特别构建的 POSIX 括号表达式例如 `[[:constructor:]]`可能引用继承的方法名称。这些方法会隐式转换为字符串并注入到生成的正则表达式中。这会导致不正确的 glob 匹配行为完整性影响其中模式可能匹配非预期的文件名。问题不会启用远程代码执行但可在依赖 glob 匹配进行筛选、验证或访问控制的应用程序中导致与安全相关的逻辑错误。使用受影响的“picomatch”版本的用户处理不受信任的或用户控制的 glob 模式可能会受到影响。此问题已在 picomatch 中修复 4.0.4、 3.0.2 和 2.3.2。用户应升级到这些版本中的一个 或更高版本具体取决于其支持的版本系列。如果无法立即升级,应避免将不受信任的 glob 模式传递给 picomatch。可能的缓解措施包括审查或拒绝不受信任的 glob 模式尤其是包含“[[:...:]]”等 POSIX 字符类的模式避免在涉及用户输入时使用 POSIX 括号表达式并通过修改“POSIX_REGEX_SOURCE”以使用 null 原型来手动修补库。 (CVE-2026-33672)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
https://access.redhat.com/security/cve/cve-2026-33672
插件详情
严重性: Medium
ID: 304000
文件名: unpatched_CVE_2026_33672.nasl
版本: 1.4
类型: Local
代理: unix
系列: Misc.
发布时间: 2026/3/27
最近更新时间: 2026/4/1
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 2.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2026-33672
CVSS v3
风险因素: Medium
基本分数: 5.3
时间分数: 4.9
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:U/RC:C
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:redhat:enterprise_linux:rust-std-static-x86_64-unknown-none, cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:centos:centos:rustfmt, p-cpe:/a:redhat:enterprise_linux:rust-analysis, p-cpe:/a:centos:centos:sgx-libs, p-cpe:/a:redhat:enterprise_linux:tdx-qgs, p-cpe:/a:redhat:enterprise_linux:rust-src, p-cpe:/a:redhat:enterprise_linux:rust-analyzer, p-cpe:/a:centos:centos:grafana-prometheus, p-cpe:/a:redhat:enterprise_linux:pcs, p-cpe:/a:redhat:enterprise_linux:nodejs-packaging-bundler, p-cpe:/a:redhat:enterprise_linux:cargo, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:centos:centos:grafana-influxdb, p-cpe:/a:centos:centos:cargo, p-cpe:/a:centos:centos:v8-13.6-devel, p-cpe:/a:centos:centos:rust-doc, p-cpe:/a:redhat:enterprise_linux:nodejs-packaging, p-cpe:/a:redhat:enterprise_linux:rust-gdb, p-cpe:/a:redhat:enterprise_linux:rust-lldb, p-cpe:/a:centos:centos:clippy, p-cpe:/a:redhat:enterprise_linux:grafana-mssql, p-cpe:/a:centos:centos:nodejs-packaging-bundler, cpe:/o:redhat:enterprise_linux:10, p-cpe:/a:centos:centos:rust-toolset-srpm-macros, p-cpe:/a:redhat:enterprise_linux:grafana, p-cpe:/a:redhat:enterprise_linux:rust-toolset-srpm-macros, p-cpe:/a:redhat:enterprise_linux:rust, p-cpe:/a:centos:centos:grafana-stackdriver, p-cpe:/a:redhat:enterprise_linux:nodejs24-libs, p-cpe:/a:redhat:enterprise_linux:nodejs-devel, p-cpe:/a:redhat:enterprise_linux:grafana-influxdb, p-cpe:/a:redhat:enterprise_linux:clippy, p-cpe:/a:centos:centos:grafana-elasticsearch, p-cpe:/a:centos:centos:nodejs-docs, p-cpe:/a:centos:centos:grafana-azure-monitor, p-cpe:/a:centos:centos:rust-std-static-wasm32-unknown-unknown, p-cpe:/a:centos:centos:grafana-opentsdb, p-cpe:/a:redhat:enterprise_linux:rust-std-static-wasm32-wasip1, p-cpe:/a:centos:centos:sgx-mpa, p-cpe:/a:redhat:enterprise_linux:nodejs24-full-i18n, p-cpe:/a:redhat:enterprise_linux:grafana-postgres, p-cpe:/a:centos:centos:grafana-graphite, p-cpe:/a:redhat:enterprise_linux:nodejs24-devel, p-cpe:/a:centos:centos:rust-std-static-x86_64-unknown-none, p-cpe:/a:centos:centos:nodejs, p-cpe:/a:redhat:enterprise_linux:grafana-prometheus, p-cpe:/a:redhat:enterprise_linux:rust-toolset, p-cpe:/a:centos:centos:npm, p-cpe:/a:redhat:enterprise_linux:nodejs-npm, p-cpe:/a:centos:centos:rust-analysis, p-cpe:/a:centos:centos:nodejs-packaging, p-cpe:/a:redhat:enterprise_linux:rust-std-static-wasm32-wasi, p-cpe:/a:centos:centos:rust-std-static-wasm32-wasip1, p-cpe:/a:centos:centos:pcs, p-cpe:/a:centos:centos:pcs-snmp, p-cpe:/a:centos:centos:nodejs22, p-cpe:/a:redhat:enterprise_linux:grafana-cloudwatch, p-cpe:/a:redhat:enterprise_linux:npm, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, p-cpe:/a:centos:centos:nodejs24-devel, p-cpe:/a:centos:centos:grafana-postgres, p-cpe:/a:centos:centos:grafana, p-cpe:/a:redhat:enterprise_linux:rustfmt, p-cpe:/a:redhat:enterprise_linux:grafana-stackdriver, p-cpe:/a:centos:centos:tdx-qgs, p-cpe:/a:redhat:enterprise_linux:grafana-azure-monitor, p-cpe:/a:centos:centos:rust-debugger-common, p-cpe:/a:redhat:enterprise_linux:sgx-mpa, p-cpe:/a:centos:centos:grafana-cloudwatch, p-cpe:/a:redhat:enterprise_linux:nodejs24, p-cpe:/a:redhat:enterprise_linux:nodejs22, p-cpe:/a:redhat:enterprise_linux:grafana-opentsdb, p-cpe:/a:redhat:enterprise_linux:grafana-elasticsearch, cpe:/o:canonical:ubuntu_linux:25.10, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, p-cpe:/a:centos:centos:grafana-loki, p-cpe:/a:centos:centos:v8-12.4-devel, p-cpe:/a:redhat:enterprise_linux:v8-13.6-devel, p-cpe:/a:centos:centos:grafana-mysql, p-cpe:/a:centos:centos:rust-src, p-cpe:/a:centos:centos:rust-std-static-aarch64-unknown-none-softfloat, cpe:/o:redhat:enterprise_linux:8, cpe:/o:debian:debian_linux:13.0, p-cpe:/a:centos:centos:rust-analyzer, p-cpe:/a:redhat:enterprise_linux:grafana-loki, p-cpe:/a:redhat:enterprise_linux:nodejs24-docs, p-cpe:/a:redhat:enterprise_linux:v8-12.4-devel, p-cpe:/a:redhat:enterprise_linux:rust-std-static-aarch64-unknown-none-softfloat, p-cpe:/a:redhat:enterprise_linux:nodejs-nodemon, p-cpe:/a:redhat:enterprise_linux:nodejs-docs, p-cpe:/a:redhat:enterprise_linux:nodejs-libs, p-cpe:/a:redhat:enterprise_linux:rust-std-static-wasm32-unknown-unknown, p-cpe:/a:centos:centos:nodejs24-docs, p-cpe:/a:centos:centos:nodejs24-libs, p-cpe:/a:redhat:enterprise_linux:rust-debugger-common, p-cpe:/a:centos:centos:nodejs-libs, p-cpe:/a:redhat:enterprise_linux:pcs-snmp, p-cpe:/a:centos:centos:rust-gdb, p-cpe:/a:centos:centos:nodejs-devel, p-cpe:/a:redhat:enterprise_linux:rust-std-static, p-cpe:/a:centos:centos:nodejs24, p-cpe:/a:redhat:enterprise_linux:nodejs-full-i18n, p-cpe:/a:centos:centos:rust-toolset, p-cpe:/a:centos:centos:rust, cpe:/o:debian:debian_linux:12.0, p-cpe:/a:redhat:enterprise_linux:sgx-pckid-tool, p-cpe:/a:centos:centos:nodejs-full-i18n, p-cpe:/a:centos:centos:nodejs-npm, cpe:/o:centos:centos:8, p-cpe:/a:centos:centos:grafana-selinux, p-cpe:/a:centos:centos:rust-std-static, p-cpe:/a:redhat:enterprise_linux:sgx-libs, p-cpe:/a:redhat:enterprise_linux:grafana-selinux, p-cpe:/a:redhat:enterprise_linux:nodejs24-npm, p-cpe:/a:debian:debian_linux:node-anymatch, p-cpe:/a:redhat:enterprise_linux:sgx-common, p-cpe:/a:redhat:enterprise_linux:grafana-graphite, p-cpe:/a:centos:centos:nodejs24-full-i18n, p-cpe:/a:centos:centos:sgx-common, p-cpe:/a:redhat:enterprise_linux:grafana-mysql, p-cpe:/a:centos:centos:rust-lldb, p-cpe:/a:centos:centos:nodejs24-npm, p-cpe:/a:redhat:enterprise_linux:rust-doc, p-cpe:/a:centos:centos:nodejs-nodemon, p-cpe:/a:centos:centos:rust-std-static-wasm32-wasi, p-cpe:/a:redhat:enterprise_linux:nodejs, p-cpe:/a:centos:centos:sgx-pckid-tool, p-cpe:/a:canonical:ubuntu_linux:node-anymatch, p-cpe:/a:centos:centos:grafana-mssql
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
易利用性: No known exploits are available
漏洞发布日期: 2026/3/25
参考资料信息
CVE: CVE-2026-33672