检测

Linux Distros 未修补的漏洞:CVE-2026-41316

high Nessus 插件 ID 310176

语言:

简介

Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。

描述

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。

 - ERB 是适用于 Ruby 的模板系统。Ruby 2.7.0 在 rubygems.org 上发布 ERB 2.2.0 之前在通过“Marshal”重建 ERB 对象时在“ERB#result”和“ERB#run”中引入了“@_init”实例变量保护以阻止代码执行。 load`反序列化。但是,也未为也通过“eval()”评估“@src”的其他三个公共方法提供相同的保护:“ERB#def_method”、“ERB#def_module”和“ERB#def_class”。能够对加载了“erb”的 Ruby 应用程序中不受信任的数据触发“Marshal.load”的攻击者可将“ERB#def_module”零参数默认参数用作代码执行接收器从而绕过“@_init”完全保护。ERB 4.0.3.1、 4.0.4.1、 6.0.1.1和 6.0.4 修补了此问题。 (CVE-2026-41316)

请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。

解决方案

目前尚未有任何已知的解决方案。

另见

https://access.redhat.com/security/cve/cve-2026-41316

https://security-tracker.debian.org/tracker/CVE-2026-41316

插件详情

严重性: High

ID: 310176

文件名: unpatched_CVE_2026_41316.nasl

版本: 1.2

类型: Local

代理: unix

系列: Misc.

发布时间: 2026/4/24

最近更新时间: 2026/4/25

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2026-41316

CVSS v3

风险因素: High

基本分数: 8.1

时间分数: 7.4

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:U/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:ruby2.7, cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:ruby3.3, p-cpe:/a:debian:debian_linux:ruby3.1, cpe:/o:debian:debian_linux:14.0, p-cpe:/a:redhat:enterprise_linux:ruby4.0, cpe:/o:debian:debian_linux:12.0, cpe:/o:redhat:enterprise_linux:10, cpe:/o:debian:debian_linux:13.0

必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier

易利用性: No known exploits are available

漏洞发布日期: 2026/4/24

参考资料信息

CVE: CVE-2026-41316