远程主机上运行的 Atlassian Jira Service Management Data Center and Server (Jira Service Desk) 版本受到 JSDSERVER-15617 公告中提及的一个漏洞影响。

  - 解析包含任意数量嵌套组/SGROUP 标签系列的不受信任的 Protocol Buffers 数据的任何项目都可能因超过堆栈限制（即 StackOverflow）而损坏。使用 DiscardUnknownFieldsParser 或 Java Protobuf Lite 解析器将嵌套组解析为未知字段，或针对 Protobuf 映射字段将嵌套组解析为未知字段，会造成无限递归，可能会被攻击者滥用。 (CVE-2024-7254)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Primavera 网关版本受到 2025 年 4 月 CPU 公告中提及的多个漏洞的影响。

  - Oracle Construction and Engineering 的 Primavera Gateway 产品中的漏洞（组件：Admin (Google Protobuf-Java)）。支持的版本中受影响的是 20.12.0-20.12.17 和 21.12.0-21.12.15。
    可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Primavera Gateway。若成功攻击此漏洞，攻击者可在未经授权的情况下造成 Primavera Unifier 挂起或频繁崩溃（完全 DOS）。(CVE-2024-7254)

  - Oracle Construction and Engineering 的 Primavera 网关产品中的漏洞（组件：Admin (json-smart)）。支持的版本中受影响的是 20.12.0-20.12.17 和 21.12.0-21.12.15。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Primavera Gateway。若成功攻击此漏洞，攻击者可在未经授权的情况下造成 Primavera Unifier 挂起或频繁崩溃（完全 DOS）。(CVE-2024-57699)

  - Oracle Construction and Engineering 的 Primavera Gateway 产品中的漏洞（组件：Admin (Apache Commons IO)）。支持的版本中受影响的是 20.12.0-20.12.17 和 21.12.0-21.12.15。
    可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Primavera Gateway。除攻击者以外的他人进行交互是实现成功攻击的必要条件。成功攻击此漏洞可导致在未经授权的情况下造成 Primavera 网关部分拒绝服务（部分 DOS）。 (CVE-2024-47554)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Database Server 版本受到 2025 年 1 月 CPU 公告中提及的多个漏洞影响。

  - 发现 jrburke requirejs v2.3.6 通过函数配置包含原型污染。此漏洞允许攻击者通过注入任意属性来执行任意代码或造成拒绝服务 (DoS)。(CVE-2024-38998)

  - Intel(R) oneAPI Toolkit OpenMP 2022.1 之前的版本中存在不受控制的搜索路径元素漏洞，经身份验证的用户可借此通过本地访问实现权限升级。(CVE-2022-26345)

  - 具有某些 OpenSSH 扩展的 SSH 传输协议（在 9.6 之前的 OpenSSH 和其他产品中发现）允许远程攻击者绕过完整性检查，从而省略某些数据包（从扩展协商消息中），并且客户端和服务器可能因此而结束某些安全功能已被降级或禁用的连接，也称为 Terrapin 攻击。发生这种情况是因为这些扩展实现的 SSH 二进制数据包协议 (BPP) 错误地处理了握手阶段并错误地处理了序列号的使用。例如，有一种针对 SSH 使用 ChaCha20-Poly1305（以及使用 Encrypt-then-MAC 的 CBC）的有效攻击。绕过发生在 chacha20-poly1305@openssh.com 和（如果使用 CBC）-etm@openssh.com MAC 算法中。这也会影响 3.1.0-SNAPSHOT 之前的 Maverick Synergy Java SSH API、2022.83 及之前的 Dropbear、Erlang/OTP 中 5.1.1 之前的 Ssh、0.80 之前的 PuTTY、2.14.2 之前的 AsyncSSH、0.17.0 之前的 golang.org/x/crypto 、0.10.6 之前的 libssh、1.11.0 及之前的 libssh2、3.4.6 之前的 Thorn Tech SFTP Gateway、5.1 之前的 Tera Term、3.4.0 之前的 Paramiko、0.2.15 之前的 jsch、2.5.6 之前的 SFTPGo、23.09.1 及之前的 Netgate pfSense Plus、2.7.2 及之前的 Netgate pfSense CE、18.2.0 及之前的 HPN-SSH、1.3.8b 之前（及 1.3.9rc2 之前）的 ProFTPD、2.3.4 之前的 ORYX CycloneSSH、Build 0144 之前的 NetSarang XShell 7、10.6.0 之前的 CrushFTP、2.2.22 之前的 ConnectBot SSH 库、2.11.0 及之前的 Apache MINA sshd、0.37.0 及之前的 sshj、20230101 及之前的 TinySSH、trilead-ssh2 6401、LANCOM LCOS 及 LANconfig、3.66.4 之前的 FileZilla、11.8 之前的 Nova、14.4 之前的 PKIX-SSH、9.4.3 之前的 SecureCRT、5.10.4 之前的 Transmit5、9.5.0.0p1-Beta 之前的 Win32-OpenSSH、6.2.2 之前的 WinSCP、9.32 之前的 Bitvise SSH Server、9.33 之前的 Bitvise SSH Client、0.76.1.13 及之前的 KiTTY、适用于 Ruby 的 net-ssh gem 7.2.0、 1.15.0 之前的 mscdex ssh2 模块（适用于 Node.js）、0.35.1 之前的 thrussh 库（适用于 Rust）以及 0.40.2 之前的 Russh crate（适用于 Rust）。(CVE-2023-48795)

  - 在 9.37.2 之前的 Connect2id Nimbus JOSE+JWT 中，攻击者可通过为 PasswordBasedDecrypter (PBKDF2) 组件使用较大的 JWE p2c 标头值（也称为迭代计数）造成拒绝服务（资源消耗）。(CVE-2023-52428)

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM Enterprise Edition 产品中存在漏洞（组件：编译器）。支持的版本中受影响的是 Oracle Java SE：23；Oracle GraalVM for JDK：17.0.12、21.0.4、23；Oracle GraalVM Enterprise Edition：20.3.15 和 21.3.11。攻击此漏洞的难度较大，通过多种协议访问网络的未经身份验证的攻击者可以利用此漏洞破坏 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。若攻击成功，攻击者可在未经授权的情况下更新、插入或删除 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 的部分可访问数据。注意：此漏洞可通过使用指定组件中的 API 加以利用，如通过向 API 提供数据的 Web 服务。此漏洞也适用于需加载并运行不可信代码（如来自互联网的代码）且安全性依赖于 Java 沙盒的 Java 部署，该部署通常在需在沙盒中运行 Java Web Start 应用程序或需在沙盒中运行 Java 小程序的客户端上。(CVE-2024-21211)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Business Intelligence Publisher (OAS) 版本受到 2025 年 1 月 CPU 公告中提及的一个漏洞影响。

  - Oracle Analytics 的 Oracle BI Publisher 产品中的漏洞（组件：Development Operations (Spring Framework)）。支持的版本中受影响的是 7.0.0.0.0 和 7.6.0.0.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle BI Publisher。成功利用此漏洞进行攻击可导致接管 Oracle BI Publisher。
    (CVE-2016-1000027)

  - Oracle Analytics 的 Oracle BI Publisher 产品中的漏洞（组件：XML Services (Snowflake JDBC)）。支持的版本中受影响的是 7.0.0.0.0 和 7.6.0.0.0。此漏洞较难攻击，其允许高权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle BI Publisher。若攻击成功，攻击者可在未经授权的情况下创建、删除或修改关键数据或所有的 Oracle BI Publisher 可访问数据，并且未经授权即可访问关键数据或完整访问所有的 Oracle BI Publisher 可访问数据。(CVE-2024-43382)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Business Intelligence Enterprise Edition (OAS) 7.0.0.0 版本受到 2025 年 1 月 CPU 公告中提及的以下多个漏洞的影响：

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞（组件：Analytics Server (SciPy)）。支持的版本中受影响的是 7.0.0.0.0 和 7.6.0.0.0。利用漏洞此漏洞的难度较低，通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。成功攻击此漏洞可导致接管 Oracle Business Intelligence Enterprise Edition。(CVE-2023-29824)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞（组件：Platform Security (OpenSSL)）。支持的版本中受影响的是 7.0.0.0.0、7.6.0.0.0 和 12.2.1.4.0。利用漏洞此漏洞的难度较低，通过 TLS 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。成功利用此漏洞进行攻击可导致在未经授权的情况下访问关键数据，或完全访问 Oracle Business Intelligence Enterprise Edition 所有可访问数据，以及在未经授权的情况下导致 Oracle Business Intelligence Enterprise Edition 发生系统挂起或频繁出现崩溃（完全 DOS）。(CVE-2024-5535)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞（组件：Analytics Server、Pipeline Test Failures、Installation (Spring Framework)）。支持的版本中受影响的是 7.0.0.0.0、7.6.0.0.0 和 12.2.1.4.0。利用漏洞此漏洞的难度较低，通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。成功攻击此漏洞可导致在未经授权的情况下造成 Oracle Business Intelligence Enterprise Edition 部分拒绝服务（部分 DOS）(CVE-2024-38809)。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的 IBM WebSphere Application Server Liberty 版本受到 7173097 公告中提及的 DoS 漏洞影响。

  - 解析包含任意数量嵌套组/SGROUP 标签系列的不受信任的 Protocol Buffers 数据的任何项目都可能因超过堆栈限制（即 StackOverflow）而损坏。使用 DiscardUnknownFieldsParser 或 Java Protobuf Lite 解析器将嵌套组解析为未知字段，或针对 Protobuf 映射字段将嵌套组解析为未知字段，会造成无限递归，可能会被攻击者滥用。 (CVE-2024-7254)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Ubuntu 22.04 LTS / 24.04 LTS / 25.04 主机上安装的程序包受到 USN-7629-1 公告中提及的多个漏洞的影响。

    当接收到使用 Python 绑定的恶意输入时，Protocol Buffers 未能正确处理内存。攻击者可能会利用此问题发起拒绝服务攻击。
    (CVE-2025-4565)

    当接收到使用 Java 绑定的恶意输入时，Protocol Buffers 未能正确处理内存。攻击者可能会利用此问题发起拒绝服务攻击。此问题仅影响 Ubuntu 25.04。(CVE-2024-7254)

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

如 2025 年 4 月 CPU 公告中提及，远程主机上安装的 MySQL Connector 的 9.0.0 和 9.2.0 版本受到 CVE-2024-7254 的影响。

  - 解析包含任意数量嵌套组/SGROUP 标签系列的不受信任的 Protocol Buffers 数据的任何项目都可能因超过堆栈限制（即 StackOverflow）而损坏。使用 DiscardUnknownFieldsParser 或 Java Protobuf Lite 解析器将嵌套组解析为未知字段，或针对 Protobuf 映射字段将嵌套组解析为未知字段，会造成无限递归，可能会被攻击者滥用。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Ubuntu 22.04 LTS / 24.04 LTS / 24.10 主机上安装的程序包受到 USN-7435-1 公告中提及的漏洞的影响。

    当接收到使用 Java 绑定的恶意输入时，Protocol Buffers 未能正确处理内存。攻击者可能会利用此问题发起拒绝服务攻击。

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 解析包含任意数量嵌套组/SGROUP 标签系列的不受信任的 Protocol Buffers 数据的任何项目都可能因超过堆栈限制（即 StackOverflow）而损坏。使用 DiscardUnknownFieldsParser 或 Java Protobuf Lite 解析器将嵌套组解析为未知字段，或针对 Protobuf 映射字段将嵌套组解析为未知字段，会造成无限递归，可能会被攻击者滥用。 (CVE-2024-7254)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
209626	Atlassian Jira Service Management Data Center and Server 5.4.x < 5.4.27、5.12.x < 5.12.14 / 5.13.x < 5.17.4 / 10.0.x < 10.1.1 (JSDSERVER-15617)	Nessus	Misc.	2024/10/24	2025/8/6	high
234550	Oracle Primavera 网关（2025 年 4 月 CPU）	Nessus	CGI abuses	2025/4/17	2025/4/17	high
214549	Oracle Database Server (2025 年 1 月 CPU)	Nessus	Databases	2025/1/23	2025/4/17	critical
214596	Oracle Business Intelligence Publisher 7.0 / 7.6 (OAS)（2024 年 1 月 CPU）	Nessus	Misc.	2025/1/24	2025/7/31	high
214600	Oracle Business Intelligence Enterprise Edition (OAS 7.0)（2025 年 1 月 CPU）	Nessus	Misc.	2025/1/24	2025/7/11	high
214869	IBM WebSphere Application Server Liberty 20.0.0.12 < 24.0.0.11 DoS (7173097)	Nessus	Web Servers	2025/2/1	2025/8/14	medium
241681	Ubuntu 22.04 LTS / 24.04 LTS / 25.04：Protocol Buffers 中的漏洞 (USN-7629-1)	Nessus	Ubuntu Local Security Checks	2025/7/10	2025/7/10	high
234561	Oracle MySQL Connectors CVE-2024-7254 （2025 年 4 月 CPU）	Nessus	Misc.	2025/4/17	2025/4/17	high
234344	Ubuntu 22.04 LTS / 24.04 LTS / 24.10：Protocol Buffers 中的漏洞 (USN-7435-1)	Nessus	Ubuntu Local Security Checks	2025/4/15	2025/4/15	high
251882	Linux Distros 未修补的漏洞：CVE-2024-7254	Nessus	Misc.	2025/8/19	2025/9/5	high

检测

插件搜索

high

high

critical

high

high

medium

high

high

high

high