The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - An issue was discovered in these Pivotal RabbitMQ versions: all 3.4.x versions, all 3.5.x versions, and     3.6.x versions prior to 3.6.9; and these RabbitMQ for PCF versions: all 1.5.x versions, 1.6.x versions     prior to 1.6.18, and 1.7.x versions prior to 1.7.15. Several forms in the RabbitMQ management UI are     vulnerable to XSS attacks. (CVE-2017-4967)

Note that Nessus relies on the presence of the package as reported by the vendor.

The remote Debian 9 host has a package installed that is affected by multiple vulnerabilities as referenced in the dla-2710 advisory.

  - An issue was discovered in these Pivotal RabbitMQ versions: all 3.4.x versions, all 3.5.x versions, and     3.6.x versions prior to 3.6.9; and these RabbitMQ for PCF versions: all 1.5.x versions, 1.6.x versions     prior to 1.6.18, and 1.7.x versions prior to 1.7.15. Several forms in the RabbitMQ management UI are     vulnerable to XSS attacks. (CVE-2017-4965, CVE-2017-4967)

  - An issue was discovered in these Pivotal RabbitMQ versions: all 3.4.x versions, all 3.5.x versions, and     3.6.x versions prior to 3.6.9; and these RabbitMQ for PCF versions: all 1.5.x versions, 1.6.x versions     prior to 1.6.18, and 1.7.x versions prior to 1.7.15. RabbitMQ management UI stores signed-in user     credentials in a browser's local storage without expiration, making it possible to retrieve them using a     chained attack. (CVE-2017-4966)

  - Pivotal RabbitMQ, versions prior to v3.7.18, and RabbitMQ for PCF, versions 1.15.x prior to 1.15.13,     versions 1.16.x prior to 1.16.6, and versions 1.17.x prior to 1.17.3, contain two components, the virtual     host limits page, and the federation management UI, which do not properly sanitize user input. A remote     authenticated malicious user with administrative access could craft a cross site scripting attack that     would gain access to virtual hosts and policy management information. (CVE-2019-11281)

  - Pivotal RabbitMQ, versions 3.7.x prior to 3.7.21 and 3.8.x prior to 3.8.1, and RabbitMQ for Pivotal     Platform, 1.16.x versions prior to 1.16.7 and 1.17.x versions prior to 1.17.4, contain a web management     plugin that is vulnerable to a denial of service attack. The X-Reason HTTP Header can be leveraged to     insert a malicious Erlang format string that will expand and consume the heap, resulting in the server     crashing. (CVE-2019-11287)

  - RabbitMQ all versions prior to 3.8.16 are prone to a denial of service vulnerability due to improper input     validation in AMQP 1.0 client connection endpoint. A malicious user can exploit the vulnerability by     sending malicious AMQP messages to the target RabbitMQ instance having the AMQP 1.0 plugin enabled.
    (CVE-2021-22116)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

自己報告されたバージョンによると、リモートWebサーバーで実行されているRabbitMQのバージョンは3.4.x、3.5.x、または3.6.9より前の3.6.xです。したがって、複数の脆弱性による影響を受けます。 - ユーザー指定の入力が不適切に検証されるため、複数のクロスサイトスクリプティング（XSS）の脆弱性が管理ユーザーインターフェイスにあります。認証されていないリモートの攻撃者がこれらを悪用し、特別に細工されたリクエストを介して、ユーザーのブラウザーセッションで任意のスクリプトコードを実行する可能性があります。（CVE-2017-4965、CVE-2017-4967）- 資格情報がブラウザーでローカルにキャッシュされ、有効期限切れにならないため、情報漏えいの脆弱性が資格情報のキャッシュにあります。ローカルの攻撃者がこれを悪用し、鎖状攻撃を介してユーザーの資格情報を漏えいさせる可能性があります。（CVE-2017-4966）Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのDebian 9ホストには、dla-2710のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  -これらのPivotal RabbitMQバージョンで問題が発見されました：すべての3.4.xのバージョン、すべての3.5.xのバージョン、および 3.6.9より前の3.6.xのバージョン。さらにこれらのPCF版のRabbitMQのバージョン：すべての1.5.xのバージョン、1.6.18より前の1.6.xのバージョン、および1.7.15より前の1.7.xのバージョン。RabbitMQ管理UIのいくつかのフォームは、XSS攻撃に脆弱です。（CVE-2017-4965、CVE-2017-4967）

  -これらのPivotal RabbitMQバージョンで問題が発見されました：すべての3.4.xのバージョン、すべての3.5.xのバージョン、および 3.6.9より前の3.6.xのバージョン。さらにこれらのPCF版のRabbitMQのバージョン：すべての1.5.xのバージョン、1.6.18より前の1.6.xのバージョン、および1.7.15より前の1.7.xのバージョン。RabbitMQ管理UIは、サインインしたユーザーの認証情報を期限なくブラウザーのローカルストレージに保存するため、連鎖攻撃を使用してそれらを取得することが可能になります。（CVE-2017-4966）

  -Pivotal RabbitMQ、v3.7.18より前のバージョン、およびPCF版RabbitMQ、 1.15.13より前のバージョン1.15.x、 1.16.6より前のバージョン1.16.x、および1.17.3より前のバージョン1.17.xには、仮想ホスト制限ページおよびフェデレーション管理UIという2つのコンポーネントが含まれており、ユーザー入力を適切にサニタイズしません。管理者アクセス権を持つ認証されたリモートの悪意のあるユーザーが、クロスサイトスクリプティング攻撃を仕掛け、仮想ホストへのアクセス権とポリシー管理情報へのアクセス権を取得する可能性があります。（CVE-2019-11281）

  - Pivotal RabbitMQ、3.7.21より前のバージョン3.7.xおよび3.8.1より前の3.8.x、そしてRabbitMQ for Pivotal Platform、1.16.7より前の1.16.xバージョンおよび1.17.4より前の1.17.xバージョンには、サービス拒否の攻撃に対して脆弱なWeb管理プラグインが含まれています。X-Reason HTTPヘッダーが悪用されて、悪意のあるErlang書式文字列が挿入され、ヒープが拡張および消費され、その結果、サーバーがクラッシュする可能性があります。（CVE-2019-11287）

  - 3.8.16より前のRabbitMQのすべてのバージョンは、AMQP 1.0クライアント接続エンドポイントの不適切な入力検証によるサービス拒否の脆弱性の影響を受けやすくなっています。悪意のあるユーザーがこの脆弱性を悪用し、AMQP 1.0プラグインを有効にしているターゲットのRabbitMQインスタンスに悪意のあるAMQPメッセージを送信する可能性があります。
    （CVE-2021-22116）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在以下 Pivotal RabbitMQ 版本中发现问题：所有 3.4.x 版本、所有 3.5.x 版本，以及 [ 3.6.9之前的  3.6.x 版本；以及这些 RabbitMQ for PCF 版本：所有 1.5.x 版本、低于 [ 1.6.18的 1.6.x 版本，以及低于 [ 1.7.15的 1.7.x 版本。RabbitMQ 管理 UI 中的多个表单容易遭受 XSS 攻击。 (CVE-2017-4967)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Pivotal RabbitMQ のバージョン：すべて 3.4.x バージョン、すべて 3.5.x バージョン、および [ 3.6.9より前の 3.6.x バージョンで問題が発見されました。およびこれらの RabbitMQ for PCF バージョン： すべて 1.5.x バージョン、 1.6.x より前のバージョン 1.6.18、および 1.7.x より前のバージョン 1.7.15。RabbitMQ 管理 UI のいくつかのフォームは、XSS 攻撃に対して脆弱です。 （CVE-2017-4967）

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 在下列 Pivotal RabbitMQ 版本中發現一個問題：所有 3.4.x 版、所有 3.5.x 版，以及 3.6.x3.6.9之前的  ] 版；以及下列 RabbitMQ for PCF 版本：所有 1.5.x 版本、[ 1.6.18之前的  1.6.x 版本，以及 [ 1.7.15之前的  1.7.x 版本。RabbitMQ 管理 UI 中的數個表單容易受到 XSS 攻擊。 (CVE-2017-4967)

請注意，Nessus 依賴供應商報告的套件存在。

根據其自我報告版本，遠端網頁伺服器上執行的 Pivotal RabbitMQ 版本是 3.4.x、3.5.x，或比 3.6.9 舊的 3.6.x 版。因此，會受到多個弱點影響：- Management 使用者介面中存在多個跨網站指令碼 (XSS) 弱點，這是因為不當驗證使用者提供的輸入所致。未經驗證的遠端攻擊者可利用這些弱點，使用特製的要求，在使用者的瀏覽器工作階段內，執行任意指令碼。(CVE-2017-4965、CVE-2017-4967) - 認證快取中存在一個資訊洩漏弱點，這是因為在瀏覽器中以本機方式快取認證且未到期所致。本機攻擊者可加以惡意利用，透過鏈結攻擊，洩漏使用者認證。(CVE-2017-4966) 請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根据其自我报告的版本，远程 Web 服务器上运行的 Pivotal RabbitMQ 版本为 3.4.x、3.5.x，或低于 3.6.9 的 3.6.x。因而会受到多个漏洞的影响：- 由于未正确验证用户提供的输入，Management 用户界面中存在多个跨站脚本 (XSS) 漏洞。未经身份验证的远程攻击者可利用这些问题，通过特制的请求，在用户浏览器会话中执行任意脚本代码。(CVE-2017-4965, CVE-2017-4967) - 由于在浏览器中本地缓存凭证且尚未过期，凭据缓存中存在信息泄露漏洞。本地攻击者可利用此问题，通过链式攻击泄露用户凭证。(CVE-2017-4966) 请注意，Nessus 并未针对这些问题进行测试，而仅依赖应用程序自我报告的版本号。

远程 Debian 9 主机上安装的一个程序包受到 dla-2710 公告中提及的多个漏洞影响。

  - 在这些 Pivotal RabbitMQ 版本中发现一个问题：所有 3.4.x 版本、所有 3.5.x 版本以及 3.6.9 之前的 3.6.x 版本；以及这些 RabbitMQ for PCF 版本：所有 1.5.x 版本、1.6.18 之前的 1.6.x 版本和 1.7.15 之前的 1.7.x 版本。RabbitMQ 管理 UI 中的多个表单容易遭受 XSS 攻击。（CVE-2017-4965、CVE-2017-4967）

  - 在这些 Pivotal RabbitMQ 版本中发现一个问题：所有 3.4.x 版本、所有 3.5.x  版本以及 3.6.9 之前的 3.6.x 版本；以及这些 RabbitMQ for PCF 版本：所有 1.5.x 版本、1.6.18 之前的 1.6.x 版本和 1.7.15 之前的 1.7.x 版本。RabbitMQ 管理 UI 将已登录的用户凭据存储在浏览器的本地存储中，并且不会过期，从而可以使用链式攻击对其进行检索。(CVE-2017-4966)

  - v3.7.18 之前的 Pivotal RabbitMQ 版本和 1.15.13 之前的 RabbitMQ for PCF 1.15.x 版本、1.16.6 之前的版本 1.16.x 和 1.17.3 之前的版本 1.17.x 均包含两个组件，即虚拟主机限制页面和联合管理 UI，这两个组件未正确审查用户输入。拥有管理访问权限且经过身份验证的远程恶意用户可构建跨站脚本攻击，进而获取虚拟主机和策略管理信息的访问权限。(CVE-2019-11281)

  - 3.7.21 之前的 Pivotal RabbitMQ 3.7.x 版本和 3.8.1 之前的 3.8.x，以及 1.16.7 之前的 RabbitMQ for Pivotal Platform 1.16.x 版本和 1.17.4 之前的 1.17.x 所包含的 web 管理插件容易受拒绝服务攻击。攻击者可利用 X-Reason HTTP 标头插入恶意 Erlang 格式字符串，造成扩展和消耗堆，进而导致服务器崩溃。(CVE-2019-11287)

  - RabbitMQ 3.8.16 之前的所有版本容易出现拒绝服务漏洞，这是未正确验证 AMQP 1.0 客户端连接端点中的输入所致。恶意用户可通过向启用了 AMQP 1.0 插件的目标 RabbitMQ 实例发送恶意 AMQP 消息来利用此漏洞。
    (CVE-2021-22116)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

遠端 Debian 9 主機上安裝的一個套件受到 dla-2710 公告中提及的多個弱點影響。

  - 在這些 Pivotal RabbitMQ 版本中發現一個問題：所有 3.4.x 版本、所有 3.5.x 版本以及 3.6.x 版的 3.6.9 之前版本；以及這些RabbitMQ for PCF 版本：所有 1.5.x 版本、1.6.x 版的 1.6.18 之前版本以及 1.7.x 版的 1.7.15 之前版本。RabbitMQ 管理 UI 中的數個表單容易受到 XSS 攻擊。(CVE-2017-4965、CVE-2017-4967)

  - 在這些 Pivotal RabbitMQ 版本中發現一個問題：所有 3.4.x 版本、所有 3.5.x 版本以及 3.6.x 版的 3.6.9 之前版本；以及這些RabbitMQ for PCF 版本：所有 1.5.x 版本、1.6.x 版的 1.6.18 之前版本以及 1.7.x 版的 1.7.15 之前版本。RabbitMQ 管理 UI 會將已登入的使用者認證儲存在瀏覽器的本機儲存區中，而不會過期，攻擊者可以經由鏈結攻擊來擷取這些認證。(CVE-2017-4966)

  - Pivotal RabbitMQ V3.7.18 之前版本以及 RabbitMQ for PCF 1.15.x 的 1.15.13 之前版本、1.16.x 的 1.16.6 之前版本和 1.17.x 的 1.17.3 之前版本包含兩個元件，即虛擬主機限制頁面和同盟管理 UI，這些元件未正確清理使用者輸入。經驗證的遠端惡意使用者若具備管理存取權，就能夠透過跨網站指令碼攻擊取得虛擬主機和原則管理資訊的存取權限。(CVE-2019-11281)

  - Pivotal RabbitMQ 3.7.x 的 3.7.21 之前版本和 3.8.x 的 3.8.1 之前版本，以及 RabbitMQ for Pivotal Platform 1.16.x 的 1.16.7 之前版本和 1.17.x 的 1.17.4 之前版本中有一個 Web 管理外掛程式容易受到拒絕服務攻擊。攻擊者可利用 X-Reason HTTP 標頭插入會擴充並消耗堆積的惡意 Erlang 格式字串，進而導致伺服器當機。(CVE-2019-11287)

  - 在 3.8.16 之前的所有版本 RabbitMQ 都容易受到一個拒絕服務弱點影響，這是因為 AMQP 1.0 用戶端連線端點中的不當輸入驗證所致。惡意使用者可將惡意 AMQP 訊息傳送至已啟用 1.0 AMQP 外掛程式的目標 RabbitMQ 執行個體，藉此惡意利用此弱點。
    (CVE-2021-22116)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

According to its self-reported version, the version of Pivotal RabbitMQ running on the remote web server is 3.4.x, 3.5.x, or 3.6.x prior to 3.6.9. It is, therefore, affected by multiple vulnerabilities :

  - Multiple cross-site scripting (XSS) vulnerabilities     exist in the Management user interface due to improper     validation of user-supplied input. An unauthenticated,     remote attacker can exploit these, via a specially     crafted request, to execute arbitrary script code in     a user's browser session. (CVE-2017-4965, CVE-2017-4967)

  - An information disclosure vulnerability exists in     credential caching due to credentials being cached     locally in the browser and not expiring. A local     attacker can exploit this, via a chained attack, to     disclose user credentials. (CVE-2017-4966)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
221104	Linux Distros Unpatched Vulnerability : CVE-2017-4967	Nessus	Misc.	2025/3/4	2025/8/6	medium
152075	Debian DLA-2710-1 : rabbitmq-server - LTS security update	Nessus	Debian Local Security Checks	2021/7/26	2023/12/6	high
100296	Pivotal RabbitMQ管理プラグイン3.4.x/3.5.x/3.6.x < 3.6.9の複数の脆弱性	Nessus	CGI abuses	2017/5/19	2021/6/3	medium
152075	Debian DLA-2710-1：rabbitmq-server - LTSセキュリティ更新	Nessus	Debian Local Security Checks	2021/7/26	2023/12/6	high
221104	Linux Distros 未修补的漏洞: CVE-2017-4967	Nessus	Misc.	2025/3/4	2025/8/6	medium
221104	Linux Distros のパッチ未適用の脆弱性: CVE-2017-4967	Nessus	Misc.	2025/3/4	2025/8/6	medium
221104	Linux Distros 未修補弱點：CVE-2017-4967	Nessus	Misc.	2025/3/4	2025/8/6	medium
100296	Pivotal RabbitMQ Management Plugin 3.4.x / 3.5.x / 3.6.x < 3.6.9 多個弱點	Nessus	CGI abuses	2017/5/19	2021/6/3	medium
100296	Pivotal RabbitMQ Management Plugin 3.4.x / 3.5.x / 3.6.x < 3.6.9 多个漏洞	Nessus	CGI abuses	2017/5/19	2021/6/3	medium
152075	Debian DLA-2710-1：rabbitmq-server - LTS 安全更新	Nessus	Debian Local Security Checks	2021/7/26	2023/12/6	high
152075	Debian DLA-2710-1：rabbitmq-server - LTS 安全性更新	Nessus	Debian Local Security Checks	2021/7/26	2023/12/6	high
100296	Pivotal RabbitMQ Management Plugin 3.4.x / 3.5.x / 3.6.x < 3.6.9 Multiple Vulnerabilities	Nessus	CGI abuses	2017/5/19	2021/6/3	medium

检测

插件搜索

medium

high

medium

high

medium

medium

medium

medium

medium

high

high

medium