Tenable披露与修补漏洞管理平台代理程序漏洞

安全系统出现漏洞，很有可能影响保护能力，但以往大部分受到媒体报道的消息，多半与杀毒软件、EDR、防火墙、SSL VPN有关，然而最近有漏洞管理平台的安全漏洞引起SecurityWeek、SCMedia、Infosecurity Magazine、HeiseOnline等多家媒体关注并报道此事，因为若不处理，攻击者能以SYSTEM权限对Windows计算机上下其手。

漏洞管理解决方案Tenable上周发布Windows版Nessus代理程序更新，修补3项安全漏洞CVE-2025-36631、CVE-2025-36632、CVE-2025-36633，这些漏洞可被非管理员身份的用户利用，攻击者能以SYSTEM权限复写本机任意系统文件、执行程序代码，或是删除文件以便提升权限，CVSS风险介于7.8至8.8分，影响10.8.4以下版本的Nessus代理程序，用户应尽快升级至10.8.5版应对。

他们提及这些漏洞有两个为外部研究人员通报，一个由Tenable内部发现。其中，CVE-2025-36631由Rishad Sheikh在5月上旬通报，该公司于5月底确认并登记CVE编号；另一个由外部研究人员通报的漏洞是CVE-2025-36633，Tenable于6月3日接获通报、7日完成确认并登记CVE编号被监管。