The remote host is affected by the vulnerability described in GLSA-202107-17 (Mechanize: Command injection)

    Mechanize does not neutralize filename input and could allow arbitrary       code execution if an attacker can control filenames used by Mechanize.
  Impact :

    Please review the referenced CVE identifiers for details.
  Workaround :

    There is no known workaround at this time.

The remote Fedora 32 host has a package installed that is affected by a vulnerability as referenced in the FEDORA-2021-24fdc228e4 advisory.

  - Mechanize is an open-source ruby library that makes automated web interaction easy. In Mechanize from     version 2.0.0 and before version 2.7.7 there is a command injection vulnerability. Affected versions of     mechanize allow for OS commands to be injected using several classes' methods which implicitly use Ruby's     Kernel.open method. Exploitation is possible only if untrusted input is used as a local filename and     passed to any of these calls: Mechanize::CookieJar#load, Mechanize::CookieJar#save_as, Mechanize#download,     Mechanize::Download#save, Mechanize::File#save, and Mechanize::FileResponse#read_body. This is fixed in     version 2.7.7. (CVE-2021-21289)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The remote Fedora 33 host has a package installed that is affected by a vulnerability as referenced in the FEDORA-2021-db8ebc547e advisory.

  - Mechanize is an open-source ruby library that makes automated web interaction easy. In Mechanize from     version 2.0.0 and before version 2.7.7 there is a command injection vulnerability. Affected versions of     mechanize allow for OS commands to be injected using several classes' methods which implicitly use Ruby's     Kernel.open method. Exploitation is possible only if untrusted input is used as a local filename and     passed to any of these calls: Mechanize::CookieJar#load, Mechanize::CookieJar#save_as, Mechanize#download,     Mechanize::Download#save, Mechanize::File#save, and Mechanize::FileResponse#read_body. This is fixed in     version 2.7.7. (CVE-2021-21289)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

新しいバージョン 2.7.7 がリリースされています。以前のバージョンに、OSコマンドの注入を可能にするセキュリティ欠陥が見つかりました。これは現在として割り当てられています。CVE-2021-21289 この新しいrpmは、この問題を修正します。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

新しいバージョン 2.7.7 がリリースされています。以前のバージョンに、OSコマンドの注入を可能にするセキュリティ欠陥が見つかりました。これは現在CVE-2021-21289として割り当てられています。この新しいrpmは、この問題を修正します。

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

遠端主機會受到 GLSA-202107-17 中所述的弱點影響 (Mechanize：命令插入)

    Mechanize 不會無效化檔案名稱輸入，而且如果攻擊者可以控制 Mechanize 使用的檔案名稱，則可允許執行任意程式碼。
  影響：

    如需詳細資料，請檢閱提及的 CVE 識別碼。
  因應措施：

    目前尚無已知的因應措施。

远程主机会受到 GLSA-202107-17 中所述漏洞的影响（Mechanize：命令注入）

    如果攻击者可以控制 Mechanize 使用的文件名，则 Mechanize 不会使文件名输入无效，并可能允许执行任意代码。
  影响：

    请查看供参考的 CVE 标识符，了解详细信息。
  变通方案：

    目前无任何已知的变通方案。

Mechanize is an open source Ruby library that makes automated web interaction easy. In Mechanize, from v2.0.0 until v2.7.7, there is a command injection vulnerability.

Affected versions of Mechanize allow for OS commands to be injected using several classes' methods which implicitly use Ruby's Kernel#open method.

For Debian 9 stretch, this problem has been fixed in version 2.7.5-1+deb9u1.

We recommend that you upgrade your ruby-mechanize packages.

For the detailed security status of ruby-mechanize please refer to its security tracker page at:
https://security-tracker.debian.org/tracker/ruby-mechanize

NOTE: Tenable Network Security has extracted the preceding description block directly from the DLA security advisory. Tenable has attempted to automatically clean and format it as much as possible without introducing additional issues.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - Mechanize is an open-source ruby library that makes automated web interaction easy. In Mechanize from     version 2.0.0 and before version 2.7.7 there is a command injection vulnerability. Affected versions of     mechanize allow for OS commands to be injected using several classes' methods which implicitly use Ruby's     Kernel.open method. Exploitation is possible only if untrusted input is used as a local filename and     passed to any of these calls: Mechanize::CookieJar#load, Mechanize::CookieJar#save_as, Mechanize#download,     Mechanize::Download#save, Mechanize::File#save, and Mechanize::FileResponse#read_body. This is fixed in     version 2.7.7. (CVE-2021-21289)

Note that Nessus relies on the presence of the package as reported by the vendor.

Mechanize 是一個開放原始碼 Ruby 庫，可簡化自動化 Web 互動。Mechanize v2.0.0 到 v2.7.7 中有一個命令插入弱點。

受影響的 Mechanize 版本允許攻擊者使用數個類別的方法插入 OS 命令，這些方法會隱含使用 Ruby 的 Kernel#open 方法。

針對 Debian 9 Stretch，已在 2.7.5-1+deb9u1 版本中修正此問題。

建議您升級 ruby-mechanize 套件。

如需有關 ruby-mechanize 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
https://security-tracker.debian.org/tracker/ruby-mechanize

注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - Mechanize 是一種開放原始碼 ruby 程式庫可簡化自動化 Web 互動。在自 2.0.0 版和 2.7.7 之前版本的 Mechanize 中存有命令插入弱點。受影響的 machineize 版本允許使用數個類別的方法插入 OS 命令而這些方法會隱含使用 Ruby 的 Kernel.open 方法。只有在將未受信任的輸入用作本機檔案名稱並將其傳遞至下列任一呼叫時才可能遭到惡意利用：Mechanize::CookieJar#load、Mechanize::CookieJar#save_as、Mechanize#download、Mechanize::Download#save、Mechanize::File #save 和 Mechanize::FileResponse#read_body。此問題已在 2.7.7 版本中修正。(CVE-2021-21289)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

Mechanizeは、自動化されたWebインタラクションを容易にする、オープンソースのRubyライブラリです。Mechanizeには、v2.0.0からv2.7.7までコマンドインジェクションの脆弱性があります。

影響を受けるバージョンのMechanizeでは、RubyのKernel#openメソッドを暗黙的に使用する複数のクラスのメソッドを使用して、OSコマンドを注入できます。

Debian 9 'Stretch'では、この問題はバージョン2.7.5-1+deb9u1で修正されています。

お使いのruby-mechanizeパッケージをアップグレードすることを推奨します。

ruby-mechanizeの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/ruby-mechanize

注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Mechanize はオープンソースの ruby ライブラリで、自動化された Web インタラクションを簡単にします。バージョン 2.0.0 以降およびバージョン 2.7.7 より前ののMechanizeに、コマンドインジェクションの脆弱性があります。影響を受けるバージョンの mechanize により、Ruby の Kernel.open メソッドを暗黙的に使用するいくつかのクラスのメソッドを使用して、OS コマンドを注入することが可能です。信頼できない入力がローカルファイル名として使用され、次のいずれかの呼び出しに渡された場合にのみ悪用が可能ですMechanize::CookieJar#load、Mechanize::CookieJar#save_as、Mechanize#download、Mechanize::Download#save、Mechanize::File #save および Mechanize::FileResponse#read_body。これはバージョン 2.7.7 で修正されました。(CVE-2021-21289)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

Mechanize 是一个开源 Ruby 库，可简化自动化 Web 交互。v2.0.0 到 v2.7.7 的 Mechanize 中存在命令注入漏洞。

受影响的 Mechanize 版本允许使用多个类的方法注入 OS 命令，这些方法隐式使用 Ruby 的 Kernel#open 方法。

对于 Debian 9 Stretch，已在版本 2.7.5-1+deb9u1 中修复此问题。

我们建议您升级 ruby-mechanize 程序包。

如需了解 ruby-mechanize 的详细安全状态，请参阅其安全跟踪页面：
https://security-tracker.debian.org/tracker/ruby-mechanize

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动清理和排版。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Mechanize 是一个让自动化 Web 交互变得轻松的开源 Ruby 库。 2.0.0 版和低于 2.7.7 版的 Mechanize 中存在一个命令注入漏洞。受影响的 Mechanize 版本允许使用多个类的方法注入 OS 命令这些类的方法会隐式使用 Ruby 的 Kernel.open 方法。仅当不受信任的输入用作本地文件名并传递至以下任何调用Mechanize::CookieJar#load、Mechanize::CookieJar#save_as、Mechanize#download、Mechanize::Download#save、Mechanize::File 时才可能被利用#save 和 Mechanize::FileResponse#read_body。此缺陷已在版本 2.7.7 中修复。(CVE-2021-21289)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

ID	Name	Product	Family	Published	Updated	Severity
157015	GLSA-202107-17 : Mechanize: Command injection	Nessus	Gentoo Local Security Checks	1/24/2022	12/21/2023	high
146396	Fedora 32 : rubygem-mechanize (2021-24fdc228e4)	Nessus	Fedora Local Security Checks	2/11/2021	4/12/2021	high
146415	Fedora 33 : rubygem-mechanize (2021-db8ebc547e)	Nessus	Fedora Local Security Checks	2/11/2021	4/12/2021	high
146415	Fedora 33：rubygem-mechanize（2021-db8ebc547e）	Nessus	Fedora Local Security Checks	2/11/2021	4/12/2021	high
146396	Fedora 32：rubygem-mechanize（2021-24fdc228e4）	Nessus	Fedora Local Security Checks	2/11/2021	4/12/2021	high
157015	GLSA-202107-17：Mechanize：命令插入	Nessus	Gentoo Local Security Checks	1/24/2022	12/21/2023	high
157015	GLSA-202107-17：Mechanize：命令注入	Nessus	Gentoo Local Security Checks	1/24/2022	12/21/2023	high
146555	Debian DLA-2561-1 : ruby-mechanize security update	Nessus	Debian Local Security Checks	2/17/2021	1/22/2024	high
259567	Linux Distros Unpatched Vulnerability : CVE-2021-21289	Nessus	Misc.	8/30/2025	8/30/2025	high
146555	Debian DLA-2561-1：ruby-mechanize 安全性更新	Nessus	Debian Local Security Checks	2/17/2021	1/22/2024	high
259567	Linux Distros 未修補的弱點：CVE-2021-21289	Nessus	Misc.	8/30/2025	8/30/2025	high
146555	Debian DLA-2561-1 : ruby-mechanizeのセキュリティ更新	Nessus	Debian Local Security Checks	2/17/2021	1/22/2024	high
259567	Linux Distros のパッチ未適用の脆弱性: CVE-2021-21289	Nessus	Misc.	8/30/2025	8/30/2025	high
146555	Debian DLA-2561-1：ruby-mechanize 安全更新	Nessus	Debian Local Security Checks	2/17/2021	1/22/2024	high
259567	Linux Distros 未修补的漏洞：CVE-2021-21289	Nessus	Misc.	8/30/2025	8/30/2025	high

Detections

Analytics

Plugins Search

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high