資安廠商Tenable近日發布公告,揭露旗下弱點掃描工具Nessus的Windows版代理程式存在高風險漏洞,攻擊者可能藉此取得SYSTEM權限,進而在受害電腦上執行任意程式碼,建議使用者儘速更新至已修補的版本。
這項漏洞的編號為CVE-2026-33694,是由外部研究人員發現並向Tenable通報,CVSS嚴重性評分達8.2分,源自於Nessus代理程式執行檔案存取前,未妥善驗證檔案連結,在Windows系統環境中,擁有本機存取權限的攻擊者可以建立惡意的連接點(junction),誘使Nessus代理程式以SYSTEM權限刪除任意檔案,並進而以SYSTEM權限執行任意程式碼。
這項漏洞會影響11.1.2版以前的Windows版Nessus代理程式,解決辦法是升級到已修補的11.1.3版。由於Nessus代理程式通常部署在關鍵主機上,一旦漏洞遭到利用,可能會造成重大影響,用戶應儘速升級以降低風險。