远程主机上的 Spring Framework 版本受到开放重定向漏洞的影响。应用程序如果使用 UriComponentsBuilder 解析外部提供的 URL（例如通过查询参数）并在经过解析的 URL 的主机上执行验证检查，则在通过验证检查之后使用 URL 时，可能容易遭受开放重定向攻击或 SSRF 攻击。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的 Atlassian Confluence Server 版本受到 CONFSERVER-95943 公告中提及的漏洞影响。

  - 应用程序如果在 Spring Framework 中使用 UriComponentsBuilder 解析外部提供的 URL（例如
    通过查询参数）并在经过解析的 URL 的主机上执行验证检查，则在通过验证检查之后使用 URL 时，可能容易遭受开放 https://cwe.mitre.org/data/definitions/601.html 重定向攻击或 SSRF 攻击。这与 CVE-2024-22243 https://spring.io/security/cve-2024-22243 相同，但输入不同。(CVE-2024-22259)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Identity Manager 12.2.1.4.0 版本受到 2024 年 7 月 CPU 公告中提及的一个漏洞影响。

  - Oracle Fusion Middleware 的 Oracle Identity Manager 产品中存在的漏洞（组件：第三方 (Spring Framework)）。支持的版本中受影响的是 12.2.1.4.0。未经身份验证且可通过 HTTP 访问网络的攻击者可通过易于利用的漏洞破坏 Oracle Identity Manager。除攻击者以外的他人进行交互是实现成功攻击的必要条件。攻击者若成功利用此漏洞进行攻击，则可在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Identity Manager 可访问数据，以及未经授权即可访问关键数据或完整访问所有 Oracle Identity Manager 可访问数据。(CVE-2024-22259)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 AOS 版本低于 7.3.1。因此如公告 NXSA-AOS-7.3.1 所述受到多个漏洞的影响。

  - 1.9.2 之前的 LZ4 的 LZ4_write32 中存在基于堆的缓冲区溢出（与 LZ4_compress_destSize 有关），可影响使用大型输入调用 LZ4_compress_fast 的应用程序。此问题也会导致数据损坏。注意据供应商声明仅有 API 的少数特定/不常见用法存在风险。
    (CVE-2019-17543)

  - 在 SQLite 3.50.2 之前的版本中存在一个漏洞，即聚合项的数量可能超过可用的列数。这可导致从内存损坏问题。我们建议升级到 3.50.2 或更高版本。(CVE-2025-6965)

  - 在 linux-pam 中发现一个缺陷。模块 pam_namespace 可能在没有适当保护的情况下访问用户控制的路径，从而允许本地用户通过多种符号链接攻击和争用条件将其权限提升到 root。(CVE-2025-6020)

  - 允许使用提取目录外部文件的 filter=data 修改某些文件元数据例如上次修改时间或使用 filter=tar 修改某些文件权限 (chmod)。如果通过 tarfile 模块使用带有“data”或“tar”值的 filter= 参数，通过 TarFile.extractall() 或 TarFile.extract() 提取不受信任的 tar 存档，则会受到此漏洞的影响。有关更多信息请参阅 tarfile 提取过滤器文档 https://docs.python.org/3/library/tarfile.html#tarfile-extraction-filter 。这些漏洞仅影响 Python 3.12 或更高版本，较早版本不包含提取过滤器功能。请注意，对于 Python 3.14 或更高版本，filter= 的默认值从“no filtering”更改为“data”。因此，如果您依赖此全新默认行为，则您的使用也会受到影响。请注意，这些漏洞都不会明显影响 tar 存档的源发行版本的安装，因为源发行版本在构建进程期间便已允许执行任意代码。但是，在评估源发行版本时，请务必避免安装带有可疑链接的源发行版本。(CVE-2024-12718)

  - 允许忽略提取过滤器、允许符号链接目标指向目标目录之外以及修改某些文件元数据。如果通过 tarfile 模块使用带有“data”或“tar”值的 filter= 参数，通过 TarFile.extractall() 或 TarFile.extract() 提取不受信任的 tar 存档，则会受到此漏洞的影响。有关更多信息请参阅 tarfile 提取过滤器文档 https://docs.python.org/3/library/tarfile.html#tarfile-extraction-filter 。请注意，对于 Python 3.14 或更高版本，filter= 的默认值从“no filtering”更改为“data”。因此，如果您依赖此全新默认行为，则您的使用也会受到影响。请注意，这些漏洞都不会明显影响 tar 存档的源发行版本的安装，因为源发行版本在构建进程期间便已允许执行任意代码。但是在评估来源发行版本时务必避免安装含有可疑链接的来源发行版本。CVE-2025-4138、 CVE-2025-4330

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 应用程序如果在 Spring Framework 中使用 UriComponentsBuilder 解析外部提供的 URL（例如
    通过查询参数）并在经过解析的 URL 的主机上执行验证检查，则在通过验证检查之后使用 URL 时，可能容易遭受开放 https://cwe.mitre.org/data/definitions/601.html 重定向攻击或 SSRF 攻击。这与 CVE-2024-22243 https://spring.io/security/cve-2024-22243 相同，但输入不同。(CVE-2024-22259)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
204718	Spring Framework < 5.3.33 / 6.0.x < 6.0.18 / 6.1.x < 6.1.5 开放重定向 (CVE-2024-22259)	Nessus	Misc.	2024/7/25	2025/2/28	high
201108	Atlassian Confluence 1.0.1 < 7.19.23 / 7.20.x < 8.5.9 / 8.6.x < 8.9.1 (CONFSERVER-95943)	Nessus	CGI abuses	2024/6/27	2025/5/22	high
202595	Oracle Identity Manager（2024 年 7 月 CPU）	Nessus	Misc.	2024/7/18	2024/12/16	high
269907	Nutanix AOS 多个漏洞 (NXSA-AOS-7.3.1)	Nessus	Misc.	2025/10/9	2025/10/30	high
251634	Linux Distros 未修补的漏洞：CVE-2024-22259	Nessus	Misc.	2025/8/18	2025/10/14	high

检测

插件搜索

high

high

high

high

high