[R1] Nessus Agent Version 11.1.3 Fixes Arbitrary File Deletion 漏洞概述 在 Windows 上的 Nessus Agent 中发现了一个漏洞,攻击者可以利用该漏洞创建符号链接(junction),从而以 SYSTEM 权限删除任意文件。这可能导致任意代码执行,攻击者可以以 elevated 权限执行恶意代码。 CVE ID: CVE-2026-33694 Tenable Advisory ID: TNS-2026-12 风险因素: High CVSSv3 Base / Temporal Score: 8.2 / 7.4 CVSSv4 Base Score: 7.4 CWE: CWE-59: Improper Link Resolution Before File Access ("Link Following") 影响范围 Nessus Agent 11.1.2 及更早版本 修复方案 升级到 Nessus Agent 11.1.3 以解决此问题。 安装文件可从 Tenable Downloads Portal 获取(路径:nessus-agents)。 披露时间线 2025-12-29: 报告被 Tenable 接收。 2026-2-18: 报告被 Tenable 接受。 2026-03-23: CVE ID 请求 / CVSS 评分计算。 2026-4-23: Nessus Agent 11.1.3 发布。 建议 Tenable 非常重视产品安全。如果您认为在 Tenable 产品中发现了漏洞,请尽快联系我们,以便我们快速响应并解决问题。更多信息请参阅 Vulnerability Reporting Guidelines。