远程主机上安装的 Adobe Connect 版本低于 9.7.5。因此，它受到 apsb18-06 公告中提及的多个漏洞影响。

  - Adobe Connect 版本 9.7 和更旧版本存在可利用的 OS 命令注入问题。若攻击者成功利用此漏洞，可导致任意文件删除。(CVE-2018-4923)

  - Adobe Connect 版本 9.7 和更早版本具有可利用的不受限制的 SWF 文件上传漏洞。
    成功利用可能导致信息泄露。(CVE-2018-4921)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，Oracle Integrated Lights Out Manager (ILOM) 版本受到公告中所述的多个漏洞影响。

由于无需身份验证便可通过 HTTP 访问在诊断日志文件中泄露的会话 ID，远程主机上运行的 Trend Micro 智能保护服务器受到会话劫持漏洞的影响。未经身份验证的远程攻击者可以获取日志文件并劫持活动用户会话以执行经过身份验证的请求。请注意，据报告该产品还受到其他漏洞的影响，但是此插件尚未对此进行测试。

远程 Web 服务器上运行的 EMC RSA Archer 版本低于 6.2.0.8。因而会受到多个漏洞的影响。详情请查看公告。

根据其标题，远程 web 服务器上运行的 PHP 7.2.x 版本低于 7.2.3。因而会受到堆栈缓冲区溢出漏洞的影响。

根据其标题，远程 web 服务器上运行的 PHP 7.1.x 版本低于 7.1.15。因而会受到堆栈缓冲区溢出漏洞的影响。

根据其标题，远程 web 服务器上运行的 PHP 7.0.x 版本低于 7.0.28。因而会受到堆栈缓冲区溢出漏洞的影响。

根据其标题，远程 web 服务器上运行的 PHP 5.6.x 版本低于 5.6.34。因而会受到堆栈缓冲区溢出漏洞的影响。

在远程主机上检测 Quest DR Series 磁盘备份设备（之前称为 Dell DR Series）Web 界面。

Quest DR 系列磁盘备份设备（旧称 Dell DR 系列）的 Web 界面使用默认凭据集（管理员 / St0r@ge!）来控制其管理界面访问。远程攻击者可利用此漏洞获取 Web 界面的管理访问权限。

可访问 JMiniX JMX 时，Operations Orchestration 服务器受到信息泄露和拒绝服务攻击的影响。请注意，为确保安全识别易受攻击的主机，Nessus 仅针对信息泄露缺陷进行测试。

远程主机上运行的 Oracle WebCenter Content 版本受到多种漏洞的影响。

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 8.4.5 的 8.x。因而会受到多个漏洞的影响：- Comment Reply Form 存在缺陷。经身份验证的远程攻击者可以添加或查看其无权访问的评论。(CVE-2017-6926) - 由于未正确处理 HTML 注入，Drupal.checkPlain() 函数中存在缺陷。远程攻击者可通过特制请求，在浏览器与服务器信任关系中可能执行任意脚本代码。(CVE-2017-6927) - 由于默认使用未翻译版本作为回退，多语言站点的节点访问控制中存在缺陷。远程攻击者可能绕过访问限制。(CVE-2017-6930) - Settings Tray 模块存在缺陷。远程攻击者可以更新其无权更新的数据。(CVE-2017-6931) 请注意，Nessus 并未针对这些问题进行测试，而仅依赖应用程序自我报告的版本号。

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 7.57 的 7.x。因而会受到多个漏洞的影响：- 由于未正确处理 HTML 注入，Drupal.checkPlain() 函数存在缺陷。远程攻击者可通过特制请求，在浏览器与服务器信任关系中可能执行任意脚本代码。(CVE-2017-6927) - 由于对模块进行冲突访问时未正确检查权限，私密文件系统存在缺陷。远程攻击者可能会访问敏感文件。(CVE-2017-6928) - 由于未正确处理 Ajax 请求，绑定 jQuery 中存在缺陷。远程攻击者可通过特制请求，在浏览器与服务器信任关系中可能执行任意脚本代码。(CVE-2017-6929) - 由于未正确验证用户输入，语言转换器块中存在缺陷。环境有关的攻击者可利用特制链接，将用户重定向至恶意站点。(CVE-2017-6932) 请注意，Nessus 并未针对这些问题进行测试，而仅依赖应用程序自我报告的版本号。

远程 Hikvision IP 摄像机受到身份验证绕过漏洞的影响。未经身份验证的远程攻击者可读取配置（包括帐户密码）、访问摄像机图像或修改摄像机固件。

远程 Web 服务器上运行的 Jenkins 版本低于 2.107，或为版本低于 2.89.4 的 Jenkins LTS。因此，该主机受到多个漏洞的影响。

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号。

远程主机上运行的 EMC vApp Manager 网络应用程序使用默认的凭证设置 ('smc' / 'smc')。未经身份验证的远程攻击者可利用此问题对应用程序进行身份验证，并执行默认帐户允许的操作。具体来说，攻击者可登录并利用文件上载 RCE 漏洞 (CVE-2018-1215)，在远程主机上造成远程代码执行。

Nessus 能够在远程主机上检测 JQuery。

根据其自我报告的版本号，远程 Web 服务器上安装运行的 Joomla! 为 1.5.0 或更高版本，但低于 3.8.4。因而会受到多个 XSS 和 SQLi 漏洞的影响：- 如 20180101 公告所述，chromes 模块中的 XSS 漏洞会影响 3.0.0 到 3.8.3 版本。(CVE-2018-6380) - 如 20180102 公告所述，com_fields 中的 XSS 漏洞会影响 3.7.0 到 3.8.3 版本。(CVE-2018-6377) - 如 20180103 公告所述，Uri 类别中的 XSS 漏洞会影响 1.5.0 到 3.8.3 版本。(CVE-2018-6379) - 如 20180103 公告所述，Hathor postinstall 消息中的 SQLi 漏洞会影响 1.5.0 到 3.8.3 版本。(CVE-2018-6379) 请注意，Nessus 并不试图利用这些问题，而只依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian JIRA 版本低于 4.1.1。因此，它可能受到多个漏洞的影响：- 经身份验证的远程攻击者可利用此权限提升问题，获得系统级权限，导致受影响电脑极易遭到入侵。- 远程攻击者可利用该跨站脚本漏洞，在受影响站点环境中，在没有防备的用户浏览器中执行任意脚本代码。这可能允许攻击者窃取 cookie 型身份验证凭据并发动其他攻击。请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

远程主机上正在运行一个移动设备管理应用程序 VMware AirWatch Console。

远程主机上运行的 EMC RSA Authentication Manager 版本低于 8.2 SP1 Patch 7 (8.2.1.7)。因此会受到安全控制台中的 SQL 盲注漏洞影响，其允许经身份验证的用户读取数据库中的任何未加密数据。

远程 Web 服务器上运行的 Jenkins 版本低于 2.95，或为版本低于 2.89.2 的 Jenkins LTS。因此，该主机受到多个漏洞的影响。

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号。

根据其自我报告的版本号，远程 pfSense 的安装版本低于 2.3.4-p1。因而，如参考供应商公告所述，它会受到多个漏洞的影响。

根据其自我报告的版本号，远程 pfSense 的安装版本低于 2.3.1-p1。因而，如参考供应商公告所述，它会受到多个漏洞的影响。

根据其自我报告的版本号，远程 pfSense 的安装版本低于 2.2.2。因而，如参考供应商公告所述，它会受到多个漏洞的影响。

根据其自我报告的版本号，远程 pfSense 的安装版本低于 2.2.1。因而，如参考供应商公告所述，它会受到多个漏洞的影响。

根据其自我报告的版本号，远程 pfSense 的安装版本低于 2.1.5。因而，如参考供应商公告所述，它会受到多个漏洞的影响。

根据其自我报告的版本号，远程 pfSense 的安装版本低于 2.1.4。因而会受到多个漏洞的影响。

根据其自我报告的版本号，远程 pfSense 的安装版本低于 2.1.3。因而，如供应商公告所述，它会受到拒绝服务漏洞的影响。

远程主机上运行的 HPE Moonshot Provisioning Manager 受到 khuploadfile.cgi 文件中两个远程代码执行漏洞的影响，这是因为未正确验证用户提供的数据所致。未经身份验证的远程攻击者可利用这些问题，通过特制的 HTTP POST 消息上传任意文件，其允许攻击者执行任意代码。请注意，据报告该产品还受到 server_response.py file 中另一漏洞的影响，但是此插件尚未对此进行测试。

根据其自我报告的版本号，远程主机上运行的 Symantec（之前为 Blue Coat）Reporter 安装版本为低于 9.5.4.1 的 9.5。因而会受到多个漏洞的影响。请注意，Nessus 并不试图利用这些问题，而只依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，远程 Web 服务器上运行的 WordPress 应用程序为低于 3.3.1 的 3.3.x。因此，它受到跨站脚本 (XSS) 漏洞的影响。未经身份验证的远程攻击者可利用此问题，通过特制的请求，在用户浏览器会话中执行任意脚本代码。请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，远程 Web 服务器上运行的 WordPress 应用程序低于版本 3.1.3。
因而会受到多个不明漏洞的影响。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上运行的 WordPress 应用程序低于版本 2.8.3。
因此，它受到多个安全绕过漏洞的影响。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上运行的 WordPress 应用程序低于版本 3.1.1。因而会受到多个漏洞的影响，包括跨站脚本 (XSS) 和跨站请求伪造 (XSRF) 以及拒绝服务 (DoS) 漏洞。请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，远程 Web 服务器上运行的 WordPress 应用程序低于版本 3.0.4。因而会受到 KSES 中多个跨站脚本漏洞 (XSS) 的影响。未经身份验证的远程攻击者可利用此问题，通过特制的请求，在用户浏览器会话中执行任意脚本代码。请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，远程 Web 服务器上运行的 WordPress 应用程序低于版本 4.9.2。因此，它受到跨站脚本漏洞的影响。

根据其自我报告的版本号，远程 Web 服务器上运行的 Oracle Primavera Unifier 安装版本缺少 2018 年 1 月的关键修补程序更新。因此，如公告中所述，它受到 platform 组件中不明问题的影响。

根据其自我报告的版本，远程主机上运行的 MySQL Enterprise Monitor 应用程序为低于 3.3.7.3306 的 3.3.x、低于 3.4.5.4248 的 3.4.x 或低于 4.0.2.5168 的 4.0.x。因此，如 2018 年 1 月 关键修补程序更新公告所述，会受到多个漏洞的影响。请参阅有关适用 CVE 的 CVRF 详细内容，获取更多信息。请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

根据其标题，远程 Web 服务器上运行的 PHP 版本为低于 7.2.1 的 7.2.x。因而会受到以下漏洞的影响：- 在 GD 图形库 (libgd) 中，gd_gif_in.c 脚本的 imagecreatefromgif 和 imagecreatefromstring 函数内存在一个因整数符号错误所导致的拒绝服务 (DoS) 漏洞。未经身份验证的远程攻击者可利用此问题，通过特制的 GIF 文件，造成应用程序停止响应。(CVE-2018-5711) - 存在一个跨站脚本 (XSS) 漏洞，这是因为未正确验证.phar 文件便将其返回至用户所致。未经身份验证的远程攻击者可利用此问题，通过诱使用户单击特制的 URL，在用户的浏览器会话中执行任意脚本代码。(CVE-2018-5712) - ext/standard/http_fopen_wrapper.c 脚本中存在一个拒绝服务 (DoS) 漏洞，这是因为 http_header_value 在 atoi 调用中可能是 NULL 值。未经身份验证的远程攻击者可利用此问题，通过特制的 HTTP 响应，造成应用程序停止响应。(CVE-2018-14884) 请注意，Nessus 并未针对这些问题进行测试，而仅依赖应用程序自我报告的版本号。

根据其标题，远程 web 服务器上运行的 PHP 7.1.x 版本低于 7.1.13。因而会受到以下漏洞的影响：- 在 GD 图形库 (libgd) 中，gd_gif_in.c 脚本的 imagecreatefromgif 和 imagecreatefromstring 函数内存在一个因整数符号错误所导致的拒绝服务 (DoS) 漏洞。未经身份验证的远程攻击者可利用此问题，通过特制的 GIF 文件，造成应用程序停止响应。(CVE-2018-5711) - 存在一个跨站脚本 (XSS) 漏洞，这是因为未正确验证.phar 文件便将其返回至用户所致。未经身份验证的远程攻击者可利用此问题，通过诱使用户单击特制的 URL，在用户的浏览器会话中执行任意脚本代码。(CVE-2018-5712) - ext/standard/http_fopen_wrapper.c 脚本中存在一个拒绝服务 (DoS) 漏洞，这是因为 http_header_value 在 atoi 调用中可能是 NULL 值。未经身份验证的远程攻击者可利用此问题，通过特制的 HTTP 响应，造成应用程序停止响应。(CVE-2018-14884) 请注意，Nessus 并未针对这些问题进行测试，而仅依赖应用程序自我报告的版本号。

根据其标题，远程 web 服务器上运行的 PHP 7.0.x 版本低于 7.0.27。因而会受到以下漏洞的影响：- 在 GD 图形库 (libgd) 中，gd_gif_in.c 脚本的 imagecreatefromgif 和 imagecreatefromstring 函数内存在一个因整数符号错误所导致的拒绝服务 (DoS) 漏洞。未经身份验证的远程攻击者可利用此问题，通过特制的 GIF 文件，造成应用程序停止响应。(CVE-2018-5711) - 存在一个跨站脚本 (XSS) 漏洞，这是因为未正确验证.phar 文件便将其返回至用户所致。未经身份验证的远程攻击者可利用此问题，通过诱使用户单击特制的 URL，在用户的浏览器会话中执行任意脚本代码。(CVE-2018-5712) - ext/standard/http_fopen_wrapper.c 脚本中存在一个拒绝服务 (DoS) 漏洞，这是因为 http_header_value 在 atoi 调用中可能是 NULL 值。未经身份验证的远程攻击者可利用此问题，通过特制的 HTTP 响应，造成应用程序停止响应。(CVE-2018-14884) 请注意，Nessus 并未针对这些问题进行测试，而仅依赖应用程序自我报告的版本号。

根据其标题，远程 web 服务器上运行的 PHP 5.6.x 版本低于 5.6.33。因而会受到多个漏洞的影响：- gdImageCreateFromGifCtx 中的潜在无限循环。(CVE-2018-5711) - .phar 404 页面中存在一个反射型 XSS 漏洞，这是因为未正确验证用户提供的输入，便将其返回给用户所导致。未经身份验证的远程攻击者可利用此问题，通过诱使用户单击特制的 URL，在用户的浏览器会话中执行任意脚本代码。(CVE-2018-5712) 请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

远程 WD MyCloud 设备受到一个文件上传漏洞影响，其允许远程攻击者上传及执行文件。

远程 Windows 主机上安装的 IBM WebSphere Portal 版本受到信息泄露漏洞的影响。

根据其自我报告的版本号，远程主机上运行的 Symantec Messaging Gateway (SMG) 版本为低于 10.6.4 的 10.x。
因此，如供应商公告所述，它受目录遍历漏洞的影响。

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号。

根据其自我报告的版本，远程 Web 服务器上运行的 Joomla! 的 JoomGallery 插件版本低于 3.3.4。因此，该插件受到“/models/category.php”和“/models/detail.php”中多个 SQL 注入漏洞的影响，这是未正确审查用户为“jg_firstorder”、“jg_secondorder”和“jg_thirdorder”参数提供的输入，便将其用于构建数据库查询所致。

远程攻击者可利用此问题发起针对受影响应用程序的 SQL 注入攻击，从而造成敏感信息泄露或针对底层数据库的攻击。

远程服务器使用的 GoAhead 版本允许未经身份验证的远程攻击者通过 CGI 脚本发送环境变量。此攻击会导致远程代码执行。

由于在处理 HTTP 请求时，未正确验证用户提供的输入，远程主机上运行的 Palo Alto Networks PAN-OS 受到管理界面中远程代码执行漏洞的影响。未经身份验证的远程攻击者可利用此问题，通过一系列特制的请求，在最高权限用户环境中导致远程代码执行。请注意，据报告 PAN-OS 也受到其他漏洞影响，但 Nessus 尚未对于这些漏洞进行测试。

ID	名称	严重性
108337	Adobe Connect <= 9.7.0 多个漏洞 (APSB18-06)	critical
107266	Oracle Integrated Lights Out Manager (ILOM) < 4.0.2.1 多个漏洞（无凭据检查）	high
107224	通过日志文件泄露劫持 Trend Micro 智能保护服务器对话框	high
107222	EMC RSA Archer < 6.2.0.8 多个漏洞	medium
107219	PHP 7.2.x < 7.2.3 堆栈缓冲区溢出	critical
107218	PHP 7.1.x < 7.1.15 堆栈缓冲区溢出	critical
107217	PHP 7.0.x < 7.0.28 堆栈缓冲区溢出	critical
107216	PHP 5.6.x < 5.6.34 堆栈缓冲区溢出	critical
107198	Quest DR Series 设备网络检测	info
107197	Quest DR Series Appliance Web 默认管理员凭据	high
107094	Micro Focus Operations Orchestration JMiniX 多个漏洞	high
107090	Oracle WebCenter Content 多个漏洞（2018 年 1 月 CPU）	high
107089	Drupal 8.x < 8.4.5 多个漏洞 (SA-CORE-2018-001)	high
107088	Drupal 7.x < 7.57 多个漏洞 (SA-CORE-2018-001)	medium
107056	Hikvision IP 摄像机远程身份验证绕过	critical
106951	Jenkins < 2.89.4 / 2.107 多个漏洞	medium
106849	EMC vApp Manager 默认凭证	critical
106658	JQuery 检测	info
106631	Joomla! 1.5.0 < 3.8.4 多个漏洞	critical
106622	Atlassian Jira < 4.1.1 多个漏洞	high
106585	VMware AirWatch Console HTTP 检测	info
106562	EMC RSA Authentication Manager < 8.2 SP1 Patch 7 Security 控制台不明盲目 SQL 注入 (ESA-2018-002)	medium
106559	Jenkins < 2.89.2 / 2.95 多个漏洞	high
106505	pfSense < 2.3.4-p1 多个漏洞 (SA-17_05 / SA-17_06)	medium
106501	pfSense < 2.3.1-p1 多个漏洞 (SA-16_05)	high
106494	pfSense < 2.2.2 多个漏洞 (SA-15_05)	medium
106493	pfSense < 2.2.1 多个漏洞 (SA-15_02 - SA-15_04)	high
106491	pfSense < 2.1.5 多个漏洞 (SA-14_15 - SA-14_17)	critical
106490	pfSense < 2.1.4 多个漏洞 (SA-14_08 - SA-14_12)	medium
106489	pfSense < 2.1.3 远程拒绝服务漏洞 (SA-14_05)	high
106460	HPE Moonshot Provisioning Manager < 1.22 多个漏洞	critical
106399	Symantec (Blue Coat) Reporter 多个漏洞 (SA158)	critical
106378	WordPress 3.3.x < 3.3.1 XSS 漏洞	medium
106377	WordPress < 3.1.3 多个漏洞	critical
106376	WordPress < 2.8.3 'wp-admin' 多个安全绕过漏洞	high
106307	WordPress < 3.1.1 多个漏洞	high
106306	WordPress < 3.0.4 多个 XSS 漏洞	medium
106304	WordPress < 4.9.2 MediaElement.js Flash 回退 XSS	medium
106201	Oracle Primavera Unifier Platform 组件不明远程问题（2018 年 1 月 CPU）	high
106103	MySQL Enterprise Monitor 3.3.x < 3.3.7.3306 / 3.4.x < 3.4.5.4248 / 4.0.x < 4.0.2.5168 多个漏洞（2018 年 1 月 CPU）	high
105774	PHP 7.2.x < 7.2.1 多个漏洞	medium
105773	PHP 7.1.x < 7.1.13 多个漏洞	medium
105772	PHP 7.0.x < 7.0.27 多个漏洞	medium
105771	PHP 5.6.x < 5.6.33 多个漏洞	medium
105732	Western Digital MyCloud 未经身份验证的文件上传	critical
105587	IBM WebSphere Portal 信息泄露	medium
105509	Symantec Messaging Gateway 10.x < 10.6.4 目录遍历漏洞 (SYM17-016)	medium
105508	用于 Joomla! 的 JoomGallery < 3.3.4 SQL 注入	medium
105389	GoAhead Server CGI 远程代码执行	high
105376	Palo Alto Networks PAN-OS 管理界面 RCE (PAN-SA-2017-0027)	critical

检测

Nessus 的 CGI abuses 系列

critical

high

high

medium

critical

critical

critical

critical

info

high

high

high

high

medium

critical

medium

critical

info

critical

high

info

medium

high

medium

high

medium

high

critical

medium

high

critical

critical

medium

critical

high

high

medium

medium

high

high

medium

medium

medium

medium

critical

medium

medium

medium

high

critical