Tenable ha publicado actualizaciones de seguridad que abordan múltiples vulnerabilidades en el escáner de vulnerabilidades Nessus. Estas, si se explotan, podrían permitir a un actor malicioso elevar sus privilegios en los sistemas afectados.
Productos afectados
- Nessus, versión 10.8.3 y anteriores
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2024-40896: con una puntuación de 9.1 en CVSS v3.1. En libxml2 2.11 (anterior a 2.11.9), 2.12 (anterior a 2.12.9) y 2.13 (anterior a 2.13.3), el analizador SAX puede generar eventos para entidades externas incluso si los controladores SAX personalizados intentan anular el contenido de la entidad. Esto podría permitir ataques XXE clásicos.
CVE-2025-24928: con una puntuación de 7.8 en CVSS v3.1. En libxml2 anterior a la versión 2.12.10 y 2.13.x anterior a la versión 2.13.6 presenta un desbordamiento de búfer basado en pila en xmlSnprintfElements en valid.c. Esto podría permitir la ejecución remota de código (RCE) o corrupción de memoria si se explota.
CVE-2025-24914: con una puntuación de 7.8 en CVSS v3.1. Al instalar Nessus en una ubicación no predeterminada en un host Windows, las versiones de Nessus anteriores a la 10.8.4 no aplicaban permisos seguros a los subdirectorios. Esto podría permitir escaladas de privilegios locales si los usuarios no habían protegido los directorios en la ubicación de instalación no predeterminada.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://nvd.nist.gov/vuln/detail/CVE-2024-40896
https://www.tenable.com/security/tns-2025-05
https://www.tenable.com/security/
https://nvd.nist.gov/vuln/detail/CVE-2025-24914
https://nvd.nist.gov/vuln/detail/CVE-2025-24928