Nekoliko značajnih propusta u sigurnosti pronađeno je u Nessus alatu za skeniranje ranjivosti, što bi moglo omogućiti napadačima da eskaliraju svoje privilegije na Windows sistemima.
Ovi sigurnosni propusti, koji utiču na sve verzije Nessusa prije 10.8.5, uključuju kritični propust specifičan za Windows (CVE-2025-36630) koji dopušta neovlašteno prepisivanje datoteka na nivou sistemskih ovlašćenja, kao i dva dodatna propusta u komponentama trećih strana, libxml2 i libxslt.
Sa CVSSv3 ocjenama u rasponu od 6.5 do 8.4, ovi propusti predstavljaju značajnu prijetnju za organizacije koje se oslanjaju na Nessus za procjenu sigurnosti.
Najozbiljniji propust, označen kao CVE-2025-36630, utiče na Nessus instalacije na Windows sistemima u verzijama prije 10.8.5. Ovaj kritični propust omogućava neadministrativnim korisnicima da prepisuju proizvoljne lokalne sistemske datoteke koristeći sadržaj dnevnika sa sistemskim ovlašćenjima, čime se efektivno omogućavaju napadi eskalacije privilegija. Propust ima osnovnu CVSSv3 ocjenu od 8.4, što ga svrstava u kategoriju visoke ozbiljnosti sa značajnim potencijalnim uticajem. Vektor napada okarakterisan je kao lokalni pristup sa niskom složenošću (AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:H), što ukazuje da napadaču trebaju niska ovlašćenja, ali bez interakcije korisnika kako bi iskoristio propust. Opseg je označen kao “Promijenjen”, što znači da propust može uticati na resurse izvan njegovog prvobitnog sigurnosnog konteksta. Zasluga za otkrivanje ovog kritičnog propusta pripada sigurnosnom istraživaču Rišadu Šeiku, koji je prijavio problem Tenableu 10. maja 2025.
Osim propusta specifičnog za Windows, Tenable je takođe adresirao sigurnosne propuste u temeljnim komponentama softvera trećih strana koje pružaju osnovnu funkcionalnost Nessus platformi. Kompanija je nadogradila libxml2 na verziju 2.13.8 i libxslt na verziju 1.1.43 kako bi ispravila identifikovane propuste CVE-2025-6021 i CVE-2025-24855. CVE-2025-6021 ima osnovnu CVSSv3 ocjenu od 6.5, sa vektorom napada koji zahtijeva mrežni pristup i niske privilegije (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H). S druge strane, CVE-2025-24855 predstavlja osnovnu ocjenu od 7.8, zahtijevajući lokalni pristup sa visokom složenošću napada, ali bez korisničkih ovlašćenja (AV:L/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:H). Važno je napomenuti da je ispravka za CVE-2025-6021 specifično uvrštena u verziju libxml2 2.13.8 implementiranu u Nessusu 10.8.5.
Organizacije koje koriste pogođene verzije Nessusa trebale bi dati prioritet hitnim nadogradnjama na verziju 10.8.5 ili 10.9.0, dostupnim putem Tenable portala za preuzimanje. Vremenski slijed objavljivanja propusta ukazuje na efikasno postupanje, pri čemu je Tenable potvrdio izvještaj u roku od 18 dana i izdao zakrpe otprilike dva mjeseca nakon prvog objavljivanja. Sistemski administratori bi trebali provjeriti svoje trenutne Nessus instalacije i implementirati sigurnosne nadogradnje tokom planiranih termina održavanja. S obzirom na ocjenu visoke ozbiljnosti i potencijal za eskalaciju privilegija, organizacije bi ove nadogradnje trebale tretirati kao kritične sigurnosne zakrpe koje zahtijevaju brzu primjenu na svim Windows Nessus instalacijama.
