根据其自我报告的版本，远程主机上运行的 Nessus Network Monitor 版本低于 6.5.3 版。因此，该软件受到 TNS-2026-02 公告中提及的多个漏洞影响。

  - 在 3.43.0 及之前版本的 SQLite SQLite3 中发现一个漏洞，分类为重大漏洞。此问题影响 make alltest 处理程序组件的 ext/session/sqlite3session.c 文件的函数 sessionReadRecord。此操纵漏洞会导致基于堆的缓冲区溢出。建议应用补丁修复此问题。此漏洞的相关标识符为 VDB-248999。(CVE-2023-7104)

  - 在 libxml2 中发现释放后使用漏洞。在某些情况下，如果 XML schematron 具有 <sch:name path=.../> 方案元素，则解析 XPath 元素时会发生此问题。此缺陷允许恶意执行者构建恶意 XML 文档用作 libxml 的输入，导致使用 libxml 的程序崩溃，或可能出现其他不明行为。(CVE-2025-49794)

  - 在 libxml2 中发现一个漏洞。处理输入 XML 文件中的某些 sch:name 元素可触发内存损坏问题。此缺陷允许攻击者构建可造成 libxml 崩溃的恶意 XML 输入文件，由于内存中的敏感数据损坏，进而可导致拒绝服务或可能出现其他不明行为。(CVE-2025-49796)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

如 2026 年 4 月 CPU 公告所述远程主机上安装的 HTTP Server 版本受到多个漏洞的影响。

  - Oracle Fusion 中间件的 Oracle HTTP 服务器产品中的漏洞组件Core。支持的版本中受影响的是 12.2.1.4.0 和 14.1.2.0.0。此漏洞较难攻击，其允许未经身份验证的攻击者通过 HTTPS 进行网络访问，从而入侵 Oracle HTTP Server。虽然该漏洞存在于 Oracle HTTP Server 中，但攻击也会对附加产品造成巨大影响 (范围更改)。若攻击成功，攻击者可在未经授权的情况下创建、删除或修改关键数据或所有的 Oracle HTTP Server 可访问数据，并且未经授权即可访问关键数据或完整访问所有的 Oracle HTTP Server 可访问数据。(CVE-2026-34291)

  - 同时启用 Server Side Includes (SSI) 和 mod_cgid（而非 mod_cgi）的 Apache HTTP Server 2.4.65 及更早版本会将 Shell 转义查询字符串传递到 #exec cmd=... 指令。此问题会影响 2.4.66 之前的 Apache HTTP Server 版本。建议用户升级到修复了此问题的版本 2.4.66。(CVE-2025-58098)

  - Windows 主机上的 Apache HTTP Server 包含服务器端请求伪造 (SSRF) 漏洞，通过传递未经验证的请求输入的 mod_rewrite 或 apache 表达式可将 NTLM 哈希泄漏给恶意服务器。此问题会影响 Apache HTTP Server 2.4.0 至 2.4.63（含）。注意：Apache HTTP Server 项目将设定更高的标准，通过 UNC 路径接受有关 SSRF 的漏洞报告。对于指示服务器开放 UNC 路径的管理员，服务器提供的保护有限。Windows 服务器应根据 NTLM 身份验证的性质限制将通过 SMB 连接的主机。 (CVE-2024-43394)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本远程主机上运行的 Tenable Security Center 低于或等于 6.7.2 且缺少相关修补程序。因此，该软件受到 TNS-2026-06 公告中提及的多个漏洞影响。

  - 在 PHP 8.1.34之前的 8.1.*、 8.2之前的 8.2.30] .*、 8.3之前的 8.3.29.*、 8.4之前的 8.4.16] .*、 8.5之前的 8.5.1.* 中打包数组的总元素计数超过 32 位限制或 HT_MAX_SIZE 时由于使用 zend_hash_num_elements() 预先计算元素计数时的整数溢出而导致 array_merge()。这可能会导致内存损坏或崩溃，并影响目标服务器的完整性和可用性。 (CVE-2025-14178)

  - PHP 版本中低于 [] 8.1.34的 [ 8.1.* 、低于 8.2.308.2的 8.3[] .* 、低于 的  .* 8.3.29、低于 的 8.48.5.* 8.4.16、低于 8.5.1 [] 的 PDO PostgreSQL 驱动程序时  .*启用 PDO::ATTR_EMULATE_PREPARES 时预处理语句参数中的无效字符序列例如 \x99可能导致引用函数 PQescapeStringConn 返回 NULL从而导致 pdo_parse_params() 函数中发生空指针取消引用。
    这可能导致崩溃分段错误并影响目标服务器的可用性。
    (CVE-2025-14180)

  - 将 OAuth2 承载令牌用于 HTTP(S) 传输并且该传输执行跨协议重定向到另一个使用 IMAP、LDAP、POP3 或 SMTP 方案的 URL 时curl 可能会错误地将承载令牌传递到新的目标主机。 (CVE-2025-14524)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

因此，该软件受到 ALAS2023-2026-1375 公告中提及的多个漏洞影响。

    GnuTLS 未固定 QUIC 证书

    注意 https://curl.se/docs/CVE-2025-13034.html注意引入
    https://github.com/curl/curl/commit/3210101088dfa3d6a125d213226b092f2f866722 (curl-8_8_0)注意修复方式
    https://github.com/curl/curl/commit/3d91ca8cdb3b434226e743946d428b4dd3acf2c9rc-8_18_0-1、 curl-8_18_0(CVE-2025-13034)

    线程 LDAPS 的损坏的 TLS 选项

    注意 https://curl.se/docs/CVE-2025-14017.html注意引入
    https://github.com/curl/curl/commit/ccba0d10b6baf5c73cae8cf4fb3f29f0f55c5a34 (curl-7_17_0)注意修复方式
    https://github.com/curl/curl/commit/39d1976b7f709a516e3243338ebc0443bdd8d56d 、rc-8_18_0-1、 curl-8_18_0]注意使用 OpenLDAP 构建仅影响旧 LDAP 支持(CVE-2025-14017)

    跨协议重定向的不记名令牌泄漏

    注意 https://curl.se/docs/CVE-2025-14524.html注意引入
    https://github.com/curl/curl/commit/06c1bea72faabb6fad4b7ef818aafaa336c9a7aa (curl-7_33_0)注意修复方式
    https://github.com/curl/curl/commit/1a822275d333dc6da6043497160fd04c8fa48640rc-8_18_0-2、 curl-8_18_0(CVE-2025-14524)

    OpenSSL 部分链存储策略绕过

    注意 https://curl.se/docs/CVE-2025-14819.html注意引入
    https://github.com/curl/curl/commit/3c16697ebd796f799227be293e8689aec5f8190d (curl-7_87_0)注意修复方式
    https://github.com/curl/curl/commit/cd046f6c93b39d673a58c18648d8906e954c4f5drc-8_18_0-3、 curl-8_18_0(CVE-2025-14819)

    libssh 全局 knownhost 替代

    注意 https://curl.se/docs/CVE-2025-15079.html注意引入
    https://github.com/curl/curl/commit/c92d2e14cfb0db662f958effd2ac86f995cf1b5a (curl-7_58_0)注意修复方式
    https://github.com/curl/curl/commit/adca486c125d9a6d9565b9607a19dce803a8b479 、rc-8_18_0-3、 curl-8_18_0]注意Debian 为 SSH 后端构建了 libssh2 (CVE-2025-15079)

    无代理设置的 libssh 密钥密码绕过

    注意 https://curl.se/docs/CVE-2025-15224.html注意引入
    https://github.com/curl/curl/commit/c92d2e14cfb0db662f958effd2ac86f995cf1b5a (curl-7_58_0)注意修复方式
    https://github.com/curl/curl/commit/16d5f2a5660c61cc27bd5f1c7f512391d1c927aa (curl-8_18_0)注意Debian 为 SSH 后端构建了 libssh2 (CVE-2025-15224)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 MySQL Server 版本受到 2026 年 4 月 CPU 公告中提及的多个漏洞影响。

  - Oracle MySQL 的 MySQL Server 产品中存在漏洞（组件：Packaging (OpenSSL)）。支持的版本中受影响的是 8.0.0-8.0.45、8.4.0-8.4.8 和 9.0.0-9.6.0。可轻松利用的漏洞允许未经身份验证的攻击者通过多种协议进行网络访问，从而破坏 MySQL Server。成功利用此漏洞进行攻击可导致接管 MySQL Server。(CVE-2025-15467)

  - Oracle MySQL 的 MySQL Server 产品中存在漏洞（组件：Server: Optimizer）。支持的版本中受影响的是 8.0.0-8.0.45、8.4.0-8.4.8 和 9.0.0-9.6.0。可轻松利用的漏洞允许低权限攻击者通过多种协议进行网络访问，从而破坏 MySQL Server。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 MySQL Server 挂起或频繁出现崩溃（完整 DOS）。
    (CVE-2026-22009)

  - Oracle MySQL 的 MySQL Server 产品中存在漏洞（组件：Packaging (curl)）。支持的版本中受影响的是 8.0.0-8.0.45、8.4.0-8.4.8 和 9.0.0-9.6.0。难以利用的漏洞允许未经身份验证的攻击者登录 MySQL Server 执行的基础设施，从而破坏 MySQL Server。
    除攻击者以外的他人进行交互是实现成功攻击的必要条件。若攻击成功，攻击者可在未经授权的情况下创建、删除或修改关键数据或所有的 MySQL Server 可访问数据，并且未经授权即可访问关键数据或完整访问所有的 MySQL Server 可访问数据。
    (CVE-2025-14017)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 curl 版本低于 8.3.0-1。因此，该软件受到 ALAS2-2026-3173 公告中提及的多个漏洞影响。

    使用 wolfSSH 驱动的后端完成 SFTP 时curl 中管理 SSH 连接的代码有缺陷且错过主机验证机制。

    这可以防止 curl 检测到 MITM 攻击者及更多攻击者。 (CVE-2025-10966)

    线程 LDAPS 的损坏的 TLS 选项

    注意 https://curl.se/docs/CVE-2025-14017.html注意引入
    https://github.com/curl/curl/commit/ccba0d10b6baf5c73cae8cf4fb3f29f0f55c5a34 (curl-7_17_0)注意修复方式
    https://github.com/curl/curl/commit/39d1976b7f709a516e3243338ebc0443bdd8d56d 、rc-8_18_0-1、 curl-8_18_0]注意使用 OpenLDAP 构建仅影响旧 LDAP 支持(CVE-2025-14017)

    跨协议重定向的不记名令牌泄漏

    注意 https://curl.se/docs/CVE-2025-14524.html注意引入
    https://github.com/curl/curl/commit/06c1bea72faabb6fad4b7ef818aafaa336c9a7aa (curl-7_33_0)注意修复方式
    https://github.com/curl/curl/commit/1a822275d333dc6da6043497160fd04c8fa48640rc-8_18_0-2、 curl-8_18_0(CVE-2025-14524)

    OpenSSL 部分链存储策略绕过

    注意 https://curl.se/docs/CVE-2025-14819.html注意引入
    https://github.com/curl/curl/commit/3c16697ebd796f799227be293e8689aec5f8190d (curl-7_87_0)注意修复方式
    https://github.com/curl/curl/commit/cd046f6c93b39d673a58c18648d8906e954c4f5drc-8_18_0-3、 curl-8_18_0(CVE-2025-14819)

    libssh 全局 knownhost 替代

    注意 https://curl.se/docs/CVE-2025-15079.html注意引入
    https://github.com/curl/curl/commit/c92d2e14cfb0db662f958effd2ac86f995cf1b5a (curl-7_58_0)注意修复方式
    https://github.com/curl/curl/commit/adca486c125d9a6d9565b9607a19dce803a8b479 、rc-8_18_0-3、 curl-8_18_0]注意Debian 为 SSH 后端构建了 libssh2 (CVE-2025-15079)

    无代理设置的 libssh 密钥密码绕过

    注意 https://curl.se/docs/CVE-2025-15224.html注意引入
    https://github.com/curl/curl/commit/c92d2e14cfb0db662f958effd2ac86f995cf1b5a (curl-7_58_0)注意修复方式
    https://github.com/curl/curl/commit/16d5f2a5660c61cc27bd5f1c7f512391d1c927aa (curl-8_18_0)注意Debian 为 SSH 后端构建了 libssh2 (CVE-2025-15224)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Ubuntu 22.04 LTS / 24.04 LTS / 25.10 主机上安装的程序包受到 USN-8062-1 公告中提及的多个漏洞的影响。

    据发现，curl 未能在从安全连接重定向到不安全连接时正确处理 cookie。攻击者可能会利用此问题造成拒绝服务或获取敏感信息。此问题仅影响 Ubuntu 25.10。(CVE-2025-9086)

    Calvin Ruocco 发现，curl 未能在某些情况下正确处理 WebSocket 通信。恶意服务器可能利用此问题，通过恶意内容导致代理缓存中毒。此问题仅影响 Ubuntu 24.04 LTS 和 Ubuntu 25.10。(CVE-2025-10148)

    Stanislav Fort 发现，wcurl 未能正确处理含有某些编码字符的 URL。如果用户受到诱骗处理特别构建的 URL，攻击者可能利用此问题在预期目录外写入文件。此问题仅影响 Ubuntu 25.10。(CVE-2025-11563)

    Stanislav Fort 发现，curl 未能在某些情况下正确验证固定的公钥。远程攻击者可能利用此问题发起中间机攻击。
    此问题仅影响 Ubuntu 25.10。(CVE-2025-13034)

    Stanislav Fort 发现，curl 在多线程环境中执行 LDAP over TLS 传输时，未能正确管理 TLS 选项。在某些情况下，证书验证可能会在不知情的情况下意外被禁用。(CVE-2025-14017)

    据发现，curl 未能在跟随重定向时正确处理 Oauth2 不记名标记。远程攻击者可能利用此问题获取身份验证凭据。(CVE-2025-14524)

    Stanislav Fort 发现，curl 未能在重复使用连接时正确验证 TLS 证书。远程攻击者可能利用此问题绕过预期证书验证。此问题仅影响 Ubuntu 24.04 LTS 和 Ubuntu 25.10。(CVE-2025-14819)

    Harry Sintonen 发现，curl 在执行基于 SSH 的文件传输时未能正确验证 SSH 主机密钥。此问题可能导致意外绕过自定义 known_hosts 文件。此问题仅影响 Ubuntu 22.04 LTS 和 Ubuntu 24.04 LTS。(CVE-2025-15079)

    Harry Sintonen 发现，使用 libssh 构建的 curl 在执行基于 SSH 的文件传输时未能正确处理身份验证。这可能导致意外身份验证操作。此问题仅影响 Ubuntu 22.04 LTS 和 Ubuntu 24.04 LTS。(CVE-2025-15224)

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 使用 libcurl 执行多线程 LDAPS 传输 (LDAP over TLS) 时如果更改一个线程中的 TLS 选项会无意间进行全局更改并因此可能还会影响其他并发的设置传输。禁用特定传输的证书验证也会无意间禁用其他线程的该功能。 (CVE-2025-14017)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程主机上安装的 libcurl 版本缺少安全更新。因此，该版本受到多线程 LDAPS 传输中安全绕过漏洞的影响。

  - 使用 libcurl 执行多线程 LDAPS 传输 (LDAP over TLS) 时，更改一个线程中的 TLS 选项可能会无意间做出全局更改。这可能会影响其他并发设置传输；例如，针对特定传输禁用证书验证可能会在无意间针对其他线程也禁用该功能。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
297102	Nessus Network Monitor < 6.5.3 多个漏洞 (TNS-2026-02)	Nessus	Misc.	2026/1/29	2026/2/3	high
309968	Oracle HTTP Server2026 年 4 月 CPU	Nessus	Web Servers	2026/4/23	2026/4/27	high
309969	Oracle HTTP Server2026 年 4 月 CPU	Nessus	Web Servers	2026/4/23	2026/4/27	high
299667	Tenable Security Center 多个漏洞 (TNS-2026-06)	Nessus	Misc.	2026/2/20	2026/4/24	high
299563	Amazon Linux 2023: curl、curl-minimal、libcurl (ALAS2023-2026-1375)	Nessus	Amazon Linux Local Security Checks	2026/2/19	2026/4/30	medium
309897	Oracle MySQL Server 8.0.x < 8.0.46（2026 年 4 月 CPU）	Nessus	Databases	2026/4/23	2026/4/27	high
299549	Amazon Linux 2curl --advisory ALAS2-2026-3173 (ALAS-2026-3173)	Nessus	Amazon Linux Local Security Checks	2026/2/19	2026/4/30	medium
300431	Ubuntu 22.04 LTS / 24.04 LTS / 25.10：curl 漏洞 (USN-8062-1)	Nessus	Ubuntu Local Security Checks	2026/3/3	2026/4/30	medium
309898	Oracle MySQL Server 9.x.x < 9.7.0（2026 年 4 月 CPU）	Nessus	Databases	2026/4/23	2026/4/27	high
282309	Linux Distros 未修补的漏洞：CVE-2025-14017	Nessus	Misc.	2026/1/7	2026/3/6	medium
291360	libcurl 7.17.0 < 8.18.0 安全绕过。	Nessus	Misc.	2026/1/19	2026/4/30	medium
309899	Oracle MySQL Server 8.4.x < 8.4.9（2026 年 4 月 CPU）	Nessus	Databases	2026/4/23	2026/4/27	high

检测

插件搜索

high

high

high

high

medium

high

medium

medium

high

medium

medium

high