根据其自我报告的版本号，远程主机上运行的 Kibana 应用程序版本低于 6.8.2，或是低于 7.2.1 的 7.x。因此，该应用程序会受到以下漏洞的影响：

 - lodash 中存在原型污染漏洞。(CVE-2019-10744)

 - Timelion 可视化工具的 graphite 集成中存在服务器端请求伪造 (SSRF) 漏洞。(CVE-2019-7616)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，Lodash 的版本为 4.17.12 之前的版本。因而受到函数 defaultsDeep 中原型污染漏洞的影响，攻击者可利用构造函数负载诱骗其添加或修改 Object.prototype 的属性。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 / 8 主机上安装的程序包受到 RHSA-2020: 2362 公告中提及的多个漏洞的影响。

  - nodejs-lodash：defaultsDeep 函数中存在原型污染，可导致修改属性 (CVE-2019-10744)

  - jquery：存在跨站脚本，这是 injQuery.htmlPrefilter 方法不当所致 (CVE-2020-11022)

  - grafana：通过全局可读的 grafana 配置文件造成的信息泄露 (CVE-2020-12459)

  - nodejs-minimist：存在原型污染，可能造成使用构造函数或 __proto__ 负载添加或修改 Object.prototype 的属性 (CVE-2020-7598)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。

远程主机上安装的 F5 Networks BIG-IP 版本低于 12.1.5.2 / 13.1.3.4 / 13.1.3.5 / 14.1.2.5 / 14.1.2.7 / 15.0.1.4 / 15.1.0.5 / 15.1.1 / 16.0.0。因此，该应用程序受到 K47105354 公告中提及的漏洞的影响。

  - lodash 4.17.12 之前版本容易受到原型污染的影响。函数 defaultsDeep 可能遭到诱骗，使用构造函数负载添加或修改 Object.prototype 的属性。
    (CVE-2019-10744)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ovirt-web-ui 的更新现在可用于 Red Hat Virtualization Engine 4.3。

Red Hat 产品安全团队将此更新评级为具有“中等”安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。

ovirt-web-ui 程序包为 Red Hat Virtualization 提供 Web 界面。

安全修复：

* nodejs-lodash：defaultsDeep 函数中存在原型污染，可导致修改属性 (CVE-2019-10744)

* bootstrap：工具提示或弹出框 data-template 属性的 XSS (CVE-2019-8331)

* js-jquery：对象原型中存在原型污染，导致拒绝服务、远程代码执行或属性注入 (CVE-2019-11358)

有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

错误修复：

* GitHub 在 ovirt-web-ui 组件上检测的已知严重性属于中等的安全漏洞 (BZ#1694032)

远程主机上安装的 Splunk 版本低于测试版本。因此，该应用程序受到 SVD-2023-0613 公告中提及的一个漏洞影响。

  - 在 Node.js 0.8.3 之前的 xmldom（以 @xmldom/xmldom 发布）程序包中 dom.js 中，函数副本通过 p 变量存在原型污染漏洞。注意：供应商表示我们正在将此报告标记为无效；但是，一些第三方认为，原型注入/原型污染不仅会在全局对象受到递归合并或深度克隆的污染时发生，而且还会在目标对象受到污染时发生。(CVE-2022-37616)

  - 低于 7.84.0 版的 curl 将 cookie、alt-svc 和 hsts 数据保存到本地文件时，会通过将临时名称重命名为最终目标文件名称来完成操作，从而使该操作成为原子型操作。在该重命名操作中，它可能会意外*放宽*对目标文件的权限，使更多用户可访问更新后的文件。(CVE-2022-32207)

  - 在低于 2.10.3 版的 libxml2 中发现一个问题。在启用 XML_PARSE_HUGE 解析器选项的情况下解析多 GB 的 XML 文档时，多个整数计数器可能溢出。这会导致尝试以负 2GB 偏移量访问数组，通常会引起分段错误。(CVE-2022-40303)

  - 在低于 2.10.3 版的 libxml2 中发现一个问题。某些无效的 XML 实体定义可损坏哈希表密钥，从而可能导致后续出现逻辑错误。在一种情况下，可能会引发双重释放。(CVE-2022-40304)

  - 存在一个与 X.509 GeneralName 内的 X.400 地址处理相关的类型混淆漏洞。
    X.400 地址被解析为 ASN1_STRING，但 GENERAL_NAME 的公共结构定义错误地将 x400Address 字段的类型指定为 ASN1_TYPE。随后，按照 OpenSSL 函数 GENERAL_NAME_cmp 的解读，此字段应为 ASN1_TYPE 而不是 ASN1_STRING。CRL 检查启用（即应用程序设置 X509_V_FLAG_CRL_CHECK 标记）后，攻击者利用此漏洞可向 memcmp 调用传递任意指针，让指针能够读取内存内容或引起拒绝服务。在大多数情况下，攻击者需要同时提供证书链和 CRL 才能发起攻击，而这两者都不需要具有有效的签名。如果攻击者仅控制其中一个输入，则另一个输入必须已包含作为 CRL 分发点的 X.400 地址，但这种情况并不常见。因此，此漏洞最有可能只影响本身已实现通过网络检索 CRL 功能的应用程序。(CVE-2023-0286)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
98979	Kibana < 6.8.2 多个漏洞	Web App Scanning	Component Vulnerability	2020/3/5	2023/3/14	critical
113008	Lodash < 4.17.12 原型污染	Web App Scanning	Component Vulnerability	2021/10/4	2023/3/14	critical
98980	Kibana 7.x < 7.2.1 多个漏洞	Web App Scanning	Component Vulnerability	2020/3/5	2023/3/14	critical
137064	RHEL 7 / 8：Red Hat OpenShift Service Mesh (RHSA-2020: 2362)	Nessus	Red Hat Local Security Checks	2020/6/3	2024/11/8	critical
135940	F5 Networks BIG-IP：Lodash 库漏洞 (K47105354)	Nessus	F5 Networks Local Security Checks	2020/4/24	2024/3/14	critical
129862	RHEL 7：Virtualization Manager (RHSA-2019: 3024)	Nessus	Red Hat Local Security Checks	2019/10/15	2024/4/18	critical
194919	Splunk Enterprise <8.1.14、8.2.0 < 8.2.11、9.0.0 < 9.0.5 (SVD-2023-0613)	Nessus	CGI abuses	2024/5/2	2024/7/26	critical

检测

插件搜索

critical

critical

critical

critical

critical

critical

critical