[R2] Nessus Version 10.12.1 Fixes SQL Injection Vulnerabilities 漏洞概述 Nessus 版本 10.12.0 及更低版本中存在漏洞。攻击者可以通过反向 DNS 记录和扫描结果文件执行 SQL 注入,这些文件由特权 Nessus 用户注入。这些攻击向量可能导致扫描结果数据的意外泄露。 影响范围 受影响产品: Nessus 10.12.0 及更早版本 修复方案 修复版本: Nessus 10.12.1 发布日期: 2026-06-25 风险信息 CVE ID: CVE-2026-57587, CVE-2026-57588 Tenable Advisory ID: TNS-2026-17 风险因素: 中等 CVSSv3 基础/时间分数: 5.3 / 4.9 (CVE-2026-57587), 3.3 / 3.1 (CVE-2026-57588) CVSSv3 向量: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:P/RL:O/RC:C (CVE-2026-57587), AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N/E:P/RL:O/RC:C (CVE-2026-57588) CVSSv4 基础分数: 2.1 (CVE-2026-57587), 1.6 (CVE-2026-57588) CVSSv4 向量: AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VIN:VAN/SC:N/SIN:SAN/E:P (CVE-2026-57587), AV:L/AC:L/AT:N/PR:N/UI:A/VC:L/VIN:VAN/SC:N/SIN:SAN/E:P (CVE-2026-57588) CWE: CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 披露时间线 2026-06-15: 报告被 Tenable 接收 2026-06-09: 报告被 Tenable 接收 2026-06-24: CVE ID 请求 / CVSS 评分计算 2026-06-25: Nessus 10.12.1 发布 建议时间线 2026-06-25: [R1] 初始发布 2026-06-25: [R2] 摘要更新