远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2022: 0152 公告中提及的多个漏洞的影响。

  - resteasy：错误消息泄露端点类信息 (CVE-2021-20289)

  - keycloak-server-spi-private：ECP SAML 绑定绕过身份验证流 (CVE-2021-3827)

  - xml-security：XPath 转换滥用可导致信息泄露 (CVE-2021-40690)

  - keycloak：不正确的授权允许非特权用户创建其他用户 (CVE-2021-4133)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2025:4226 公告中提及的多个漏洞的影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.1.10 版本用于替换 Red Hat JBoss Enterprise Application Platform 7.1.9，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.1.9 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Business Intelligence Enterprise Edition (OBIEE) (OAS) 版本受到 2023 年 4 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞（组件：Analytics Server (Apache Commons BeanUtils)）。支持的版本中受影响的是 6.4.0.0.0。利用漏洞此漏洞的难度较低，通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。若成功利用此漏洞，攻击者未经授权即可对 Oracle Business Intelligence Enterprise Edition 可访问的部分数据执行更新、插入或删除操作；未经授权即可读取 Oracle Business Intelligence Enterprise Edition 可访问数据中的部分数据；以及在未经授权的情况下造成 Oracle Business Intelligence Enterprise Edition 部分拒绝服务（部分 DOS）。(CVE-2019-10086)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞（组件：Analytics Server (zlib)）。支持的版本中受影响的是 6.4.0.0.0。利用漏洞此漏洞的难度较低，通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。成功攻击此漏洞可导致接管 Oracle Business Intelligence Enterprise Edition。(CVE-2022-37434)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞（组件：BI 应用程序存档 (Apache Commons Text)）。支持的版本中受影响的是 6.4.0.0.0。利用漏洞此漏洞的难度较低，通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。成功攻击此漏洞可导致接管 Oracle Business Intelligence Enterprise Edition。(CVE-2022-42889)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号进行判断。

远程 Debian 9 主机上安装的多个程序包受到 dla-2767 公告中提及的一个漏洞影响。

  - Apache Santuario - XML Security for Java 2.2.3 和 2.1.7 之前的所有版本都容易受到以下问题影响：从 KeyInfoReference 元素创建 KeyInfo 时，无法正确传递 secureValidation 属性。这允许攻击者滥用 XPath 转换来提取 RetrievalMethod 元素中的任何本地 .xml 文件。(CVE-2021-40690)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程主机上安装的 Oracle Application Testing Suite 版本受到 2023 年 4 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Enterprise Manager 的 Oracle Application Testing Suite 产品中存在漏洞（组件：
    Load Testing for Web Apps (Apache Ant)）。支持的版本中受影响的是 13.3.0.1。可轻松利用的漏洞允许未经授权的攻击者登录 Oracle Application Testing Suite 执行的基础结构，从而破坏 Oracle Application Testing Suite。除攻击者以外的他人进行交互是实现成功攻击的必要条件。成功利用此漏洞进行攻击可导致攻击者在未经授权的情况下可造成 Oracle Application Testing Suite 挂起或频繁出现重复性崩溃（完全 DOS）。(CVE-2021-36374)

  - Oracle Enterprise Manager 的 Oracle Application Testing Suite 产品中存在漏洞（组件：
    Load Testing for Web Apps (Apache Santuario XML Security For Java)）。支持的版本中受影响的是 13.3.0.1。可轻松利用的漏洞允许未经身份验证攻击者通过多种协议进行网络访问，从而破坏 Oracle Application Testing Suite。成功利用此漏洞进行攻击可导致攻击者可在未经授权的情况下访问关键数据，或完整访问 Oracle Application Testing Suite 可访问的所有数据。(CVE-2021-40690)

  - Oracle Enterprise Manager 的 Oracle Application Testing Suite 产品中存在漏洞（组件：
    Load Testing for Web Apps (Apache Xerces2 Java)）。支持的版本中受影响的是 13.3.0.1。
    可轻松利用的漏洞允许未经身份验证攻击者通过多种协议进行网络访问，从而破坏 Oracle Application Testing Suite。除攻击者以外的他人进行交互是实现成功攻击的必要条件。成功利用此漏洞进行攻击可导致攻击者在未经授权的情况下可造成 Oracle Application Testing Suite 挂起或频繁出现重复性崩溃（完全 DOS）。(CVE-2022-23437)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 10/11 主机上安装的多个程序包受到 dsa-5010 公告中提及的一个漏洞影响。

  - Apache Santuario - XML Security for Java 2.2.3 和 2.1.7 之前的所有版本都容易受到以下问题影响：从 KeyInfoReference 元素创建 KeyInfo 时，无法正确传递 secureValidation 属性。这允许攻击者滥用 XPath 转换来提取 RetrievalMethod 元素中的任何本地 .xml 文件。(CVE-2021-40690)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2021: 5150 公告中提及的多个漏洞的影响。

  - resteasy：错误消息泄露端点类信息 (CVE-2021-20289)

  - undertow：基于 HTTP/2 的流控制中存在潜在安全问题，可导致 DOS (CVE-2021-3629)

  - wildfly-elytron：ScramServer 中存在潜在时序攻击 (CVE-2021-3642)

  - wildfly：JBOSS_LOCAL_USER 质询位置不正确，可导致向所有本地用户授予访问权限 (CVE-2021-3717)

  - jsoup：构建的输入可导致 jsoup HTML 和 XML 解析器卡住 (CVE-2021-37714)

  - xml-security：XPath 转换滥用可导致信息泄露 (CVE-2021-40690)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle WebCenter Portal 版本缺少 2022 年 10 月关键补丁更新 (CPU) 中的安全补丁。因此，该应用程序受到多个漏洞的影响：

  - Oracle Communications Applications 的 Oracle Communications Convergence 产品中存在漏洞（组件：框架 (dojo)）。支持的版本中受影响的是 3.0.3.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Communications Convergence。成功利用此漏洞进行攻击可导致接管 Oracle Communications Convergence。(CVE-2021-23450)

  - Oracle Fusion Middleware 的 Oracle WebCenter Portal 产品中存在漏洞（组件：安全框架 (jackson-databind)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle WebCenter Portal。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 Oracle WebCenter Portal 挂起或频繁出现崩溃（完整 DOS）(CVE-2020-36518)。

  - Oracle Fusion Middleware 的 Oracle WebCenter Portal 产品中存在漏洞（组件：安全框架 (Apache Santuario XML Security For Java)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle WebCenter Portal。成功攻击此漏洞可导致在未经授权的情况下访问关键数据，或完整访问所有可供访问的 Oracle WebCenter Portal 数据。(CVE-2021-40690)

请注意，Nessus 并不试图利用此问题，而只依赖于应用程序自我报告的版本号。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2021: 5151 公告中提及的一个漏洞影响。

  - resteasy：错误消息泄露端点类信息 (CVE-2021-20289)

  - undertow：基于 HTTP/2 的流控制中存在潜在安全问题，可导致 DOS (CVE-2021-3629)

  - wildfly-elytron：ScramServer 中存在潜在时序攻击 (CVE-2021-3642)

  - wildfly：JBOSS_LOCAL_USER 质询位置不正确，可导致向所有本地用户授予访问权限 (CVE-2021-3717)

  - jsoup：构建的输入可导致 jsoup HTML 和 XML 解析器卡住 (CVE-2021-37714)

  - xml-security：XPath 转换滥用可导致信息泄露 (CVE-2021-40690)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Ubuntu 18.04 LTS / 20.04 LTS 主机上安装的程序包受到 USN-5525-1 公告中提及的漏洞的影响。

  - Apache Santuario - XML Security for Java 2.2.3 和 2.1.7 之前的所有版本都容易受到以下问题影响：从 KeyInfoReference 元素创建 KeyInfo 时，无法正确传递 secureValidation 属性。这允许攻击者滥用 XPath 转换来提取 RetrievalMethod 元素中的任何本地 .xml 文件。(CVE-2021-40690)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Apache Santuario - XML Security for Java 2.2.3 和 2.1.7 之前的所有版本都容易受到以下问题影响：从 KeyInfoReference 元素创建 KeyInfo 时，无法正确传递 secureValidation 属性。这允许攻击者滥用 XPath 转换来提取 RetrievalMethod 元素中的任何本地 .xml 文件。(CVE-2021-40690)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2022: 0151 公告中提及的多个漏洞的影响。

  - resteasy：错误消息泄露端点类信息 (CVE-2021-20289)

  - keycloak-server-spi-private：ECP SAML 绑定绕过身份验证流 (CVE-2021-3827)

  - xml-security：XPath 转换滥用可导致信息泄露 (CVE-2021-40690)

  - keycloak：不正确的授权允许非特权用户创建其他用户 (CVE-2021-4133)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2021: 5149 公告中提及的一个漏洞影响。

  - resteasy：错误消息泄露端点类信息 (CVE-2021-20289)

  - undertow：基于 HTTP/2 的流控制中存在潜在安全问题，可导致 DOS (CVE-2021-3629)

  - wildfly-elytron：ScramServer 中存在潜在时序攻击 (CVE-2021-3642)

  - wildfly：JBOSS_LOCAL_USER 质询位置不正确，可导致向所有本地用户授予访问权限 (CVE-2021-3717)

  - jsoup：构建的输入可导致 jsoup HTML 和 XML 解析器卡住 (CVE-2021-37714)

  - xml-security：XPath 转换滥用可导致信息泄露 (CVE-2021-40690)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle WebLogic Server 版本缺少 2022 年 7 月关键补丁更新 (CPU) 中的安全补丁。因此，该应用程序受到多个漏洞的影响，其中包括：

  - Oracle Fusion Middleware 的 Oracle WebLogic Server  产品中的漏洞（组件：Third Party Tools、Samples (Spring Framework)）。支持的版本中受影响的是 12.2.1.3.0、12.2.1.4.0 和  14.1.1.0.0。可轻易遭到利用的漏洞允许具有网络访问权限且未经身份验证的攻击者通过 HTTP 危害 Oracle WebLogic Server。成功利用此漏洞进行攻击可导致接管 Oracle WebLogic Server。(CVE-2022-22965)

  - Oracle Fusion Middleware 的 Oracle WebLogic Server  产品中的漏洞（组件：Centralized Third Party Jars (OWASP Enterprise Security API)）。支持的版本中受影响的是 12.2.1.3.0、12.2.1.4.0 和  14.1.1.0.0。可轻易遭到利用的漏洞允许具有网络访问权限且未经身份验证的攻击者通过 HTTP 危害 Oracle WebLogic Server。成功利用此漏洞进行攻击可导致接管 Oracle WebLogic Server。(CVE-2022-23457)

  - Oracle Fusion Middleware 的 Oracle WebLogic Server  产品中的漏洞（组件：Centralized Third Party Jars (Apache Maven)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。
    可轻易遭到利用的漏洞允许具有网络访问权限且未经身份验证的攻击者通过 HTTP 危害 Oracle WebLogic Server。若攻击成功，攻击者可在未经授权的情况下创建、删除或修改关键数据或 Oracle WebLogic Server 的所有可访问数据，并且未经授权即可访问关键数据或完整访问 Oracle WebLogic Server 的所有可访问数据。(CVE-2021-26291)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
156792	RHEL 8：RHEL 8 上的 Red Hat Single Sign-On 7.5.1 安全更新（重要）(RHSA-2022: 0152)	Nessus	Red Hat Local Security Checks	2022/1/18	2024/11/7	high
237013	RHEL 7：RHEL 7 上的 Red Hat JBoss Enterprise Application Platform 7.1.10 (RHSA-2025:4226)	Nessus	Red Hat Local Security Checks	2025/5/21	2025/6/5	high
174743	Oracle Business Intelligence Enterprise Edition (OAS) (2023 年 4 月 CPU)	Nessus	Misc.	2023/4/25	2024/1/22	critical
153772	Debian DLA-2767-1：libxml-security-java - LTS 安全更新	Nessus	Debian Local Security Checks	2021/9/28	2023/11/29	high
174517	Oracle Application Testing Suite（2023 年 4 月 CPU）	Nessus	Misc.	2023/4/20	2024/10/23	high
155373	Debian DSA-5010-1：libxml-security-java - 安全更新	Nessus	Debian Local Security Checks	2021/11/16	2023/11/23	high
156106	RHEL 7：RHEL 7 上的 Red Hat JBoss Enterprise Application Platform 7.3.10 安全更新（中等）(RHSA-2021: 5150)	Nessus	Red Hat Local Security Checks	2021/12/15	2024/11/7	high
166335	Oracle WebCenter Portal 多个漏洞（2022 年 10 月 CPU）	Nessus	Misc.	2022/10/20	2023/10/24	critical
156111	RHEL 8：RHEL 8 上的 Red Hat JBoss Enterprise Application Platform 7.3.10 安全更新（中等）(RHSA-2021: 5151)	Nessus	Red Hat Local Security Checks	2021/12/16	2024/11/7	high
163302	Ubuntu 18.04 LTS / 20.04 LTS：Apache XML Security for Java 漏洞 (USN-5525-1)	Nessus	Ubuntu Local Security Checks	2022/7/20	2024/8/27	high
256959	Linux Distros 未修补的漏洞：CVE-2021-40690	Nessus	Misc.	2025/8/27	2025/8/27	high
156788	RHEL 7：RHEL 7 上的 Red Hat Single Sign-On 7.5.1 安全更新（重要）(RHSA-2022: 0151)	Nessus	Red Hat Local Security Checks	2022/1/18	2024/11/8	high
156109	RHEL 6：RHEL 6 上的 Red Hat JBoss Enterprise Application Platform 7.3.10 安全更新（中等）(RHSA-2021: 5149)	Nessus	Red Hat Local Security Checks	2021/12/15	2024/11/7	high
163298	Oracle WebLogic Server（2022 年 7 月 CPU）	Nessus	Misc.	2022/7/20	2024/1/4	critical

检测

插件搜索

high

high

critical

high

high

high

high

critical

high

high

high

high

high

critical