远程主机上安装的 IBM WebSphere Portal 版本为低于 6.1.0.6 CF27 的 6.1.0.x。因此，该服务器受到多个漏洞的影响：

  - 由于没有正确验证用户提供的输入，因此“boot_config.jsp”脚本中存在跨站脚本漏洞。攻击者可利用此问题在用户浏览器的安全环境中执行任意脚本代码，以窃取认证 Cookie。
    (CVE-2014-0952)

  - 由于没有正确验证用户提供的输入，因而存在不明的跨站脚本漏洞。攻击者可利用此问题，在用户的 Web 浏览器的安全环境中执行任意脚本代码，以窃取认证 Cookie。(CVE-2014-0956)

  - 存在一个不明漏洞，允许经过身份验证的攻击者在系统中执行任意代码。(CVE-2014-4808)

  - 由于未在实体扩展期间正确执行递归检测，因而存在缺陷。远程攻击者可通过特别构建的 XML 文档导致系统崩溃，从而造成拒绝服务。(CVE-2014-4814)

  - 存在信息泄露漏洞，使远程攻击者可根据 Web 服务器错误代码识别文件是否存在。
    (CVE-2014-4821)

  - 由于没有正确验证用户提供的输入，因而存在不明的反射型跨站脚本漏洞。远程攻击者可利用此缺陷，通过特别构建的 URL 在运行网站的安全环境的用户 Web 浏览器中执行任意脚本代码。这允许攻击者窃取用户基于 Cookie 的认证凭据。(CVE-2014-6215)

  - 由于没有正确验证用户提供的输入，因而存在不明的反射型跨站脚本漏洞。远程攻击者可利用此缺陷，通过特别构建的 URL 在运行网站的安全环境的用户 Web 浏览器中执行任意脚本代码。这允许攻击者窃取用户基于 Cookie 的认证凭据。(CVE-2014-8909)

  - 存在不明缺陷，会在处理门户请求时触发。远程攻击者可利用此缺陷消耗 CPU 资源，从而导致拒绝服务情况。(CVE-2015-1943)

  - 由于没有正确验证用户提供的输入，因而存在不明的反射型跨站脚本漏洞。远程攻击者可利用此缺陷，通过特别构建的 URL 在运行网站的安全环境的用户 Web 浏览器中执行任意脚本代码。这允许攻击者窃取用户基于 Cookie 的认证凭据。(CVE-2016-2925)

远程主机正在运行的 Oracle Endeca Information Discovery Studio 版本可能缺少供应商提供的修补程序，该修补程序用于修复多种缺陷和与 OpenSSL 相关的安全漏洞。

请注意，根据配置远程主机的方式，Nessus 可能无法检测正确的版本。您需要手动验证远程主机尚未安装修补程序。

远程主机上检测到 Oracle Endeca Information Discovery Studio。Oracle Endeca Information Discovery Studio 是一个基于 Web 的数据发现和分析工具。

根据其标题，远程主机上安装的 PHP 版本是开发版本 5.6.0。因此，当处理畸形 CDF 文件时，它受到“fileinfo”扩展的“libmagic”库中空指针取消引用错误的影响。远程攻击者可通过向主机上传特别构建的 CDF 文件来造成拒绝服务。

请注意，Nessus 并不试图利用此问题，而只依赖于应用程序自我报告的版本号。

根据其标题栏，远程主机上安装的 PHP 5.6.x 版本低于 5.6.2。因此，它受到以下漏洞的影响：

-“mkgmtime”函数中存在缓冲区溢出错误，可导致应用程序崩溃或任意代码执行。(CVE-2014-3668)

-“unserialize”函数中存在整数溢出错误，可能导致拒绝服务攻击。
 请注意，这仅影响 32 位实例。
 (CVE-2014-3669)

-“exif_thumbnail”函数中存在堆损坏错误，可导致应用程序崩溃或任意代码执行。(CVE-2014-3670)

- cURL 扩展的“ext/curl/interface.c”文件和 NULL 选项处理中存在输入验证错误，可导致信息泄露。（缺陷 #68089）

请注意，Nessus 并不试图利用这些问题，而只依赖于应用程序自我报告的版本号。

根据其标题栏，远程主机上安装的 PHP 5.5.x 版本低于 5.5.18。因此，它受到以下漏洞的影响：

-“mkgmtime”函数中存在缓冲区溢出错误，可导致应用程序崩溃或任意代码执行。(CVE-2014-3668)

-“unserialize”函数中存在整数溢出错误，可能导致拒绝服务攻击。
 请注意，这仅影响 32 位实例。
 (CVE-2014-3669)

-“exif_thumbnail”函数中存在堆损坏错误，可导致应用程序崩溃或任意代码执行。(CVE-2014-3670)

- cURL 扩展的“ext/curl/interface.c”文件和 NULL 选项处理中存在输入验证错误，可导致信息泄露。（缺陷 #68089）

请注意，Nessus 并不试图利用这些问题，而只依赖于应用程序自我报告的版本号。

根据其标题栏，远程主机上安装的 PHP 5.4.x 版本低于 5.4.34。因此，它受到以下漏洞的影响：

-“mkgmtime”函数中存在缓冲区溢出错误，可导致应用程序崩溃或任意代码执行。(CVE-2014-3668)

-“unserialize”函数中存在整数溢出错误，可能导致拒绝服务攻击。
 请注意，这仅影响 32 位实例。
 (CVE-2014-3669)

-“exif_thumbnail”函数中存在堆损坏错误，可导致应用程序崩溃或任意代码执行。(CVE-2014-3670)

- cURL 扩展的“ext/curl/interface.c”文件和 NULL 选项处理中存在输入验证错误，可导致信息泄露。（缺陷 #68089）

请注意，Nessus 并不试图利用这些问题，而只依赖于应用程序自我报告的版本号。

由于 Drupal 数据库抽象 API 中存在一个缺陷，远程 Web 服务器正在运行的 Drupal 版本受到 SQL 注入漏洞的影响，这允许远程攻击者使用可导致任意 SQL 执行的特别构建的请求。这可能导致权限升级、任意 PHP 执行或远程代码执行。

远程 Web 服务器运行的 Drupal 版本是低于 7.32 的 7.x。因此，它可能受到 SQL 注入漏洞的影响，此漏洞产生的原因是 Drupal 数据库抽象化 API 中的缺陷，可允许远程攻击者使用特别构建的请求导致任意 SQL 执行。这可能导致权限升级、任意 PHP 执行或远程代码执行。

请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，远程主机上的 TIBCO Spotfire Server 版本不再受供应商支持。缺少支持意味着供应商将不再发布任何新的安全修补程序。因此，此版本有可能包含安全漏洞。

远程主机运行的 TIBCO Spotfire Server 版本受到由于认证模块中的不明缺陷导致的权限升级漏洞的影响。远程攻击者可利用此漏洞访问敏感信息并修改数据。

远程主机运行的 TIBCO Spotfire Server 版本受到远程代码执行漏洞影响，原因是认证模块中存在不明缺陷。远程攻击者可利用此漏洞以运行受影响应用程序的帐户的权限在远程主机上执行任意代码。

远程主机运行的 TIBCO Spotfire Analytics Server 版本受到由于认证模块中的不明缺陷而导致的信息泄露漏洞影响。远程攻击者可利用此漏洞通过发送特别构建的 URL 来访问敏感信息。

远程主机正在运行的 TIBCO Spotfire Analytics Server 版本受到多种漏洞的影响：

  - 存在一个跨站脚本漏洞，可允许远程攻击者查看或修改敏感信息。(CVE-2011-3132)

  - 存在一个会话固定漏洞，可允许远程攻击者劫持另一用户的会话。
    (CVE-2011-3133)

  - 存在一个 SQL 注入缺陷，可允许远程攻击者通过发送特别构建的 URL 来查看和修改敏感信息。
    (CVE-2011-3134)

在远程主机上检测到用于业务分析软件的 Web 界面 TIBCO Spotfire Server（以前称为 TIBCO Spotfire Analytics Server）。

在远程主机上检测到 Cisco Integrated Management Controller 的登录页面。可以通过标准请求来提取固件版本信息。

根据其自我报告的版本号，远程 Web 服务器上安装的 Joomla! 应用程序受到以下漏洞的影响：

- 当提取备份存档或 Joomla! 更新时，“restore.php”脚本中存在一个文件执行缺陷。这可允许远程攻击者绕过安全限制，并以与 Web 服务器相同的权限执行任意代码。(CVE-2014-7228)

- 由于检查不充分导致的一个不明缺陷可允许远程攻击者造成拒绝服务。
 (CVE-2014-7229)

请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，远程主机上安装的 Oracle Fusion Middleware MapViewer 版本受到以下漏洞的影响：

  - 存在与 Oracle Maps 子组件相关的不明缺陷，可允许远程攻击者获取潜在敏感信息的访问权限。
    （CVE-2012-1736、CVE-2012-1749）

  存在与 Install 子组件相关的不明缺陷，可允许远程攻击者影响完整性。(CVE-2012-3115)

在远程主机上检测到 Oracle Fusion Middleware MapViewer。
MapViewer 是用于整合交互式地图和空间分析的开发工具包。

根据其标题栏，远程主机上安装的 PHP 5.6.x 版本低于 5.6.1。因此，它受到与“post_handler.c”中的函数“add_post_var”、输入过滤器及“efree”函数相关的错误影响。释放“ksep”变量的输入过滤器也可造成不正确的“efree”调用。这些问题可允许任意代码执行。

请注意，Nessus 并不试图利用这些问题，而只依赖于应用程序自我报告的版本号。

Nessus 在远程主机上检测到 Oracle Application Express (APEX) / REST Data Services Listener。Oracle APEX / REST 监听器是基于 Web 的数据库接口。

远程主机似乎是 Barracuda Web Filter 设备，用于控制最终用户对网站和应用程序的访问。

根据其标题，远程主机上安装的 Bugzilla 版本包含多种缺陷。因此，它受到以下漏洞的影响：

- 如果新注释对内部群组标记为隐私，且在同一事务中设置了标记，注释将对标记接收方可见，即使其不在内部群组中。(CVE-2014-1571)

- 当创建新的 Bugzilla 帐户时，远程攻击者可替代某些参数。这可导致创建帐户时使用与最初请求不同的邮件地址，从而允许根据群组的正则表达式设置将用户添加到某些群组。这可允许攻击者升级给定的用户帐户权限。
 (CVE-2014-1572)

- 在处理 CGI 参数的方式中存在一个缺陷，可允许攻击者利用跨站脚本访问敏感信息。
 (CVE-2014-1573)

请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

远程 IBM Jazz Team server 正在使用没有“Secure”标记的会话 Cookie。未设置此标记可能允许攻击者拦截 Cookie。

远程主机上安装了用于多个 IBM Jazz Foundation 产品的基础组件 IBM Jazz Team Server。

根据其自我报告的版本号，托管在远程 Web 服务器上的 Joomla! 安装受到以下漏洞的影响：

- 由于未正确审查用户输入而导致“com_media”中存在跨站脚本缺陷。这可能引起远程攻击者使用特别构建的请求在浏览器/服务器信任关系内执行任意脚本代码。请注意，此问题仅影响版本 3.2.x < 3.2.5 和 3.3.x < 3.3.4。
 (CVE-2014-6631)

- 由于未正确验证登录而导致的 LDAP 认证的认证绕过缺陷。
 这可允许远程攻击者通过特别构建的请求，以另一用户的身份登录。
 (CVE-2014-6632)

请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

远程 Web 服务器上托管的 Silver Peak VX 安装受到“/php/user_account.php”脚本的“user_id”参数中的一个跨站脚本 (XSS) 漏洞的影响。攻击者可利用此问题将任意 HTML 和脚本代码注入用户的浏览器，以便在受影响站点的安全环境中执行。

请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

远程 Web 服务器托管了使用“admin”帐户默认凭据的 Silver Peak VX 安装。远程攻击者可利用此漏洞来获取应用程序的管理权限。

已在远程主机上检测到 Silver Peak VX（一款虚拟化性能和管理应用程序）的 Web 界面。

在远程主机上检测到了适用于 Silver Peak NX（一款虚拟化性能和管理设备）的 Web 界面。

远程 Web 服务器受到 GNU Bash 中的命令注入漏洞（称为 Shellshock）的影响。产生此漏洞的原因是处理环境变量值中的函数定义后，未能正确处理尾部字符串。远程攻击者可利用此漏洞，根据系统配置，通过环境变量操纵执行任意代码。

根据其标题，远程主机上安装的 Bugzilla 版本的回调 API 中存在一个缺陷，原因是在这些 API 中，会在没有正确审查数据的情况下将其提交给“jsonrpc.cgi”脚本。
使用含 SWF 内容的特别构建的 OBJECT 元素，远程攻击者可执行跨站请求伪造攻击。这可导致泄露敏感缺陷信息。

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

远程主机上安装的 FreeNAS 版本还未设置密码，或最近重置了 WebGUI 密码。这允许任何用户登入 WebGUI、设置任意密码，而后使用 WebGUI 的系统终端功能，以管理权限执行任意命令。

远程主机运行的 IBM Rational License Key Server 管理报告工具 (RLKS) 版本为低于 8.1.4.4 的 8.1.4.x 版本。因此，该服务器受到多个漏洞的影响：

  - 当处于 SSL 模式时未正确设置会话 Cookie 的安全标记。攻击者可利用此漏洞通过拦截 Cookie 传输来从其中捕获敏感信息。(CVE-2014-0909)

  - 存在信息泄露漏洞，允许攻击者通过使用特别构建的 SPARQL 查询获取对许可证使用数据的访问权限。
    (CVE-2014-3079)

  - 存在与用户会话 Cookie 相关的不明漏洞，攻击者可利用此漏洞冒充合法用户。(CVE-2014-4756)

Nessus 能够使用一组默认的已知凭据登录到 IBM Rational License Key Server 管理报告工具的远程 Web 界面。

Nessus 检测到 IBM Rational License Key Server Administration and Reporting Tool 的 Web 界面。

由于 Perl 脚本“miniserv.pl”未能正确过滤来自 URL 的空字符，远程主机上安装的 Usermin 版本受到信息泄露漏洞的影响。攻击者可利用此漏洞泄漏 CGI 脚本的源代码、获取目录清单，或者针对受影响的应用程序发动跨站脚本攻击。

远程主机上安装的 Usermin 受到 Perl 脚本“miniserv.pl”中的一个信息泄露缺陷的影响。此缺陷可允许未经认证的远程攻击者以 Web 服务器用户 ID 的权限读取受影响主机上的任意文件。

远程 Web 服务器正在运行 Usermin（一个使用基于 Web 的界面的 webmail 管理应用程序）。

根据其自我报告的版本号，远程 Web 服务器上托管的 phpMyAdmin 应用程序为低于 4.0.10.3 的 4.0.x、低于 4.1.14.4 的 4.1.x 或低于 4.2.8.1 的 4.2.x。因此，它受到与“微历史记录”功能相关的输入验证错误的影响，可允许基于 DOM 的跨站脚本攻击，从而进一步导致跨站请求伪造攻击。

请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

远程主机是运行基于 Web 的用户界面的 Riverbed SteelApp（以前称为 Stingray）Traffic Manager 设备。它可以从标准请求读取 Web UI 版本。

远程主机上安装的 Oracle Policy Automation 版本是低于 10.2.0.124 的 10.2.x、低于 10.3.1.61 的 10.3.x 或低于 10.4.3 的 10.4.x。因此，它受到不明远程漏洞的影响，经过认证的远程用户可利用此漏洞泄露敏感信息。

远程 Web 服务器托管 Oracle Web Determinations，一个基于 Web 的交互式评估系统，是 Oracle Policy Automation 的一个组件。

远程主机上的 IBM WebSphere Portal 版本受到统一任务列表 (UTL) portlet 中多种漏洞的影响：

- 存在不明的开放重定向漏洞，远程攻击者可通过引诱用户点击恶意 URL 来执行钓鱼攻击。
 (CVE-2014-3054)

- 存在 SQL 注入漏洞，导致作为受信任用户的远程攻击者可操纵 SQL 查询或向后端数据库注入 SQL 查询。
 (CVE-2014-3055)

- 存在信息泄露漏洞，导致远程攻击者可查看与版本有关的环境变量和某些 JAR 文件。
 (CVE-2014-3056)

- 存在跨站脚本漏洞，导致远程攻击者可在用户的浏览器中执行任意代码。(CVE-2014-3057)

远程主机上安装的 IBM WebSphere Portal 版本受到不明开放重定向漏洞的影响。该问题允许攻击者通过诱使用户点击恶意的 URL 执行钓鱼攻击。

远程主机上的 IBM WebSphere Portal 版本受到返回错误代码所造成的信息泄露漏洞的影响。远程攻击者可利用此问题识别防火墙后面的设备。

远程主机上的 IBM WebSphere Portal 版本受到 Apache Struts ClassLoader 中的一个远程代码执行漏洞的影响。远程攻击者可通过操纵 ActionForm 对象的“class”参数来利用此问题执行任意代码。

远程主机上安装的 IBM WebSphere Portal 版本受到多种漏洞的影响：

- Apache HttpComponents 库的 HttpClient 组件中存在信息泄露漏洞。攻击者可利用此问题，发送 Proxy-Authorization 标头来检索用户密码。(CVE-2011-1498)

- 由于没有正确验证用户输入，因而存在不明的跨站脚本漏洞。攻击者可利用此问题在用户浏览器的安全环境中执行代码。
 (CVE-2014-3102)

- 存在信息泄露漏洞，原因是攻击者可利用返回的错误代码识别防火墙之后的设备。(CVE-2014-4746)

- 存在不明的开放重定向漏洞，可允许攻击者通过诱使用户点击恶意 URL 来执行钓鱼攻击。
 (CVE-2014-4760)

ManageEngine DeviceExpert 通过为“ReadUsersFromMasterServlet”特别构建的 GET 请求暴露用户名和密码哈希。

ID	名称	严重性
78739	IBM WebSphere Portal 6.1.0.x < 6.1.0.6 CF27 多种漏洞	medium
78603	Oracle Endeca Information Discovery Studio 多种漏洞（2014 年 10 月 CPU）	high
78602	Oracle Endeca Information Discovery Studio 检测	info
78556	PHP 5.6.0 开发版本 CDF 文件空指针取消引用 DoS	high
78547	PHP 5.6.x < 5.6.2 多种漏洞	high
78546	PHP 5.5.x < 5.5.18 多种漏洞	high
78545	PHP 5.4.x < 5.4.34 多种漏洞	high
78515	Drupal 数据库抽象 API SQLi	high
78511	Drupal 7.x < 7.32 SQLi	high
78394	TIBCO Spotfire Server 不受支持的版本检测	critical
78393	TIBCO Spotfire Server 认证模块不明权限升级	high
78392	TIBCO Spotfire Server 认证模块不明远程代码执行	high
78391	TIBCO Spotfire Analytics Server 认证模块不明信息泄露	medium
78390	TIBCO Spotfire Analytics Server Web 应用程序多种漏洞	high
78389	TIBCO Spotfire 服务器检测	info
78388	Cisco Integrated Management Controller WebUI 检测	info
78088	Joomla! 2.5.x < 2.5.26 / 3.x < 3.2.6 / 3.3.x < 3.3.5 多种漏洞	critical
78087	Oracle MapViewer 多种漏洞（2012 年 7 月 CPU）	medium
78084	Oracle MapViewer 检测	info
78082	PHP 5.6.x < 5.6.1“add_post_var”代码执行	high
78075	Oracle Application Express (APEX) / REST Data Services Listener 检测	info
78074	Barracuda Web Filter 检测	info
78069	Bugzilla < 4.0.15 / 4.2.11 / 4.4.6 / 4.5.6 多种漏洞	medium
78066	IBM Jazz Team Server 会话 Cookie 信息泄露	medium
78065	IBM Jazz Team Server 检测	info
77860	Joomla! 2.5.x < 2.5.25 / 3.x < 3.2.5 / 3.3.x < 3.3.4 多种漏洞	critical
77856	Silver Peak VX < 6.2.4 XSS	medium
77855	Silver Peak VX 默认凭据	critical
77831	Silver Peak VX 检测	info
77830	Silver Peak NX 检测	info
77829	GNU Bash 环境变量处理代码注入 (Shellshock)	critical
77779	Bugzilla < 4.0.14 / 4.2.10 / 4.4.5 / 4.5.5 CSRF 漏洞	medium
77746	FreeNAS WebGUI 空白密码	critical
77710	IBM Rational License Key Server 管理报告工具 8.1.4.x < 8.1.4.4 多种漏洞	medium
77709	IBM Rational License Key Server 管理报告工具默认凭据	high
77708	IBM Rational License Key Server Administration and Reporting Tool 检测	info
77705	Usermin 空字节过滤信息泄露	medium
77704	Usermin“miniserv.pl”任意文件泄露	medium
77703	Usermin 检测	info
77702	phpMyAdmin 4.0.x < 4.0.10.3 / 4.1.x < 4.1.14.4 / 4.2.x < 4.2.8.1 微历史记录 XSS 和 XSRF 漏洞 (PMASA-2014-10)	medium
77683	Riverbed SteelApp (Stingray) Traffic Manager Web UI 检测	info
77667	Oracle Policy Automation (Oracle Web Determinations) 不明远程安全漏洞（2013 年 7 月 CPU）	medium
77666	Oracle Web Determinations 检测	info
77541	IBM WebSphere Portal 8.0.0.x Unified Task List Portlet 多种漏洞 (PI18909)	high
77540	IBM WebSphere Portal 开放重定向漏洞 (PI19877)	medium
77539	IBM WebSphere Portal 错误代码信息泄露 (PI21858)	medium
77535	IBM WebSphere Portal Apache Struts ClassLoader 操纵 RCE	high
77534	IBM WebSphere Portal 8.5.0 < 8.5.0 CF01 开放重定向	medium
77533	IBM WebSphere Portal 8.x < 8.0.0.1 CF13 多种漏洞	medium
77530	ManageEngine DeviceExpert 未经授权的信息泄露	medium

检测

Nessus 的 CGI abuses 系列

medium

high

info

high

high

high

high

high

high

critical

high

high

medium

high

info

info

critical

medium

info

high

info

info

medium

medium

info

critical

medium

critical

info

info

critical

medium

critical

medium

high

info

medium

medium

info

medium

info

medium

info

high

medium

medium

high

medium

medium

medium