检测

Linux Distros 未修补的漏洞:CVE-2026-32316

high Nessus 插件 ID 306246

语言:

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

 - jq 是命令行 JSON 处理器。jvp_string_append() 和 jvp_string_copy_replace_bad 函数中 1.8.1 版之前存在一个整数溢出漏洞在该漏洞中连接总长度超过 2^31 字节的字符串会造成缓冲区分配大小计算中发生 32 位无符号整数溢出进而导致堆缓冲区。然后后续内存复制操作将完整的字符串数据写入此过小的缓冲区从而造成分类为 CWE-190整数溢出的堆缓冲区溢出导致 CWE-122基于堆的缓冲区溢出。评估不受信任的 jq 查询的任何系统都会受到影响因为攻击者可以通过构建可产生极大字符串的查询来使进程崩溃或者可能通过堆损坏来实现进一步利用。根本原因是缺少字符串大小边界检查这与已经具有大小限制的数组和对象不同。此问题已在提交 e47e56d226519635768e6aab2f38f0ab037c09e5 中解决。 (CVE-2026-32316)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://access.redhat.com/security/cve/cve-2026-32316

https://security-tracker.debian.org/tracker/CVE-2026-32316

插件详情

严重性: High

ID: 306246

文件名: unpatched_CVE_2026_32316.nasl

版本: 1.1

类型: Local

代理: unix

系列: Misc.

发布时间: 2026/4/13

最近更新时间: 2026/4/13

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.0

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2026-32316

CVSS v3

风险因素: High

基本分数: 8.2

时间分数: 7.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H

时间矢量: CVSS:3.0/E:U/RL:U/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:jq, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:centos:centos:jq, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:jq-devel, cpe:/o:redhat:enterprise_linux:8, cpe:/o:centos:centos:8, p-cpe:/a:centos:centos:jq-devel, cpe:/o:debian:debian_linux:14.0, cpe:/o:debian:debian_linux:12.0, cpe:/o:redhat:enterprise_linux:10, cpe:/o:debian:debian_linux:13.0, p-cpe:/a:debian:debian_linux:jq

必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

易利用性: No known exploits are available

漏洞发布日期: 2026/4/13

参考资料信息

CVE: CVE-2026-32316