远程主机上安装的 Oracle Access Manager 版本缺少 2023 年 4 月 CPU 公告的安全补丁。因此，该应用程序受到多个漏洞的影响：

  - Oracle Fusion Middleware 的 Oracle Access Manager 产品中存在的漏洞（组件：Third Party (Jython)）。支持的版本中受影响的是 12.2.1.4.0。此漏洞较容易攻击，允许未经身份验证的攻击者通过 HTTPS 进行网络访问，从而入侵 Oracle Access Manager。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 Oracle Access Manager 挂起或频繁出现崩溃（完整 DOS）。(CVE-2019-20916)

  - Oracle Fusion Middleware 的 Oracle Access Manager 产品中存在的漏洞（组件：Build Scripts (Jettison)）。支持的版本中受影响的是 12.2.1.4.0。此漏洞较容易攻击，允许未经身份验证的攻击者通过 HTTPS 进行网络访问，从而入侵 Oracle Access Manager。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 Oracle Access Manager 挂起或频繁出现崩溃（完整 DOS）。(CVE-2022-40149)

  - Oracle Fusion Middleware 的 Oracle Access Manager 产品中存在的漏洞（组件：Third Party (Zip4j)）。支持的版本中受影响的是 12.2.1.4.0。此漏洞较难攻击，其允许未经身份验证的攻击者通过 HTTPS 进行网络访问，从而破坏 Oracle Access Manager。成功攻击此漏洞可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Access Manager 可访问数据的访问权限。(CVE-2023-22899)

请注意，Nessus 并未试图利用这些问题，而是仅依据应用程序自我报告的版本号来判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 使用 Jettison 解析不受信任的 XML 或 JSON 数据可能受到拒绝服务攻击 (DOS)。如果对用户提供的输入运行解析器，攻击者可能会提供通过堆栈溢位造成解析器崩溃的内容。此影响可能支持拒绝服务攻击。(CVE-2022-40149)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2023:3610 公告中提及的多个漏洞影响。

  - jackson-databind：使用 JDK 序列化来序列化 JsonNode 时可能造成 DoS (CVE-2021-46877)

  - maven-shared-utils：通过命令行类进行的命令注入 (CVE-2022-29599)

  - Jenkins 插件：Blue Ocean 插件中存在 CSRF 漏洞 (CVE-2022-30953)

  - Jenkins 插件：Blue Ocean 插件中缺少权限检查 (CVE-2022-30954)

  - jettison：由堆栈溢出导致的解析器崩溃 (CVE-2022-40149)

  - jettison：通过用户提供的 XML 或 JSON 数据耗尽内存 (CVE-2022-40150)

  - jettison：如果 map 中的值是 map 自身，则新的 new JSONObject(map) 会造成 StackOverflowError，进而导致 dos (CVE-2022-45693)

  - json-smart：json-smart 中不受控制的资源消耗漏洞（资源耗尽）(CVE-2023-1370)

  - springframework：利用无前缀的双重通配符模式执行安全旁路 (CVE-2023-20860)

  - springframework：Spring Expression DoS 漏洞 (CVE-2023-20861)

  - jenkins-2-plugins/script-security：脚本安全插件中存在沙盒绕过漏洞 (CVE-2023-24422)

  - jenkins-2-plugin: workflow-job：Pipeline: Job 插件中存在存储型 XSS 漏洞 (CVE-2023-32977)

  - jenkins-2-plugin: pipeline-utility-steps：Pipeline Utility Steps 插件中的任意文件写入漏洞 (CVE-2023-32981)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的多个程序包受到 RHSA-2023:1043 公告中提及的多个漏洞影响。

  - bootstrap：重叠数据父级属性中的跨站脚本 (XSS) (CVE-2018-14040)

  - bootstrap：工具提示的 data-container 属性中的跨站脚本 (XSS) (CVE-2018-14042)

  - jquery：对象原型中存在原型污染，导致拒绝服务、远程代码执行或属性注入 (CVE-2019-11358)

  - jquery：存在跨站脚本，这是 injQuery.htmlPrefilter 方法不当所致 (CVE-2020-11022)

  - jquery：通过传递给 DOM 操纵方法的 HTML 中的 <option> 标签执行不受信任的代码 (CVE-2020-11023)

  - glob-parent：正则表达式拒绝服务 (CVE-2021-35065)

  - minimist：原型污染 (CVE-2021-44906)

  - keycloak：execute-actions-email Admin REST API 中的 HTML 注入 (CVE-2022-1274)

  - keycloak：特定情况下关于假冒的 XSS (CVE-2022-1438)

  - SnakeYaml：构造函数反序列化远程代码执行 (CVE-2022-1471)

  - Undertow：可以实现 DoS，因为 Undertow 服务器会一直等待 EJB 调用的 LAST_CHUNK (CVE-2022-2764)

  - keycloak：使用 OIDC 离线刷新标记的会话接管 (CVE-2022-3916)

  - keycloak：反射型 XSS 攻击 (CVE-2022-4137)

  - Moment.js：moment.locale 中存在路径遍历漏洞 (CVE-2022-24785)

  - snakeyaml：由于缺少集合的嵌套深度限制而导致的拒绝服务漏洞 (CVE-2022-25857)

  - moment：导致 DoS 的低效解析算法 (CVE-2022-31129)

  - loader-utils：正则表达式拒绝服务 (CVE-2022-37603)

  - snakeyaml：org.yaml.snakeyaml.composer.Composer.composeSequenceNode 中未捕获的异常 (CVE-2022-38749)

  - snakeyaml：org.yaml.snakeyaml.constructor.BaseConstructor.constructObject 中未捕获的异常 (CVE-2022-38750)

  - snakeyaml：java.base/java.util.regex.Pattern$Ques.match 中未捕获的异常 (CVE-2022-38751)

  - jettison：由堆栈溢出导致的解析器崩溃 (CVE-2022-40149)

  - jettison：通过用户提供的 XML 或 JSON 数据耗尽内存 (CVE-2022-40150)

  - jackson-databind：深层封装数组嵌套 wrt UNWRAP_SINGLE_VALUE_ARRAYS (CVE-2022-42003)

  - jackson-databind：深度嵌套数组的使用 (CVE-2022-42004)

  - mina-sshd：Java 不安全反序列化漏洞 (CVE-2022-45047)

  - jettison：如果 map 中的值是 map 自身，则新的 new JSONObject(map) 会造成 StackOverflowError，进而导致 dos (CVE-2022-45693)

  - json5：通过解析方法在 JSON5 中造成原型污染 (CVE-2022-46175)

  - Apache CXF：目录清单/代码泄露 (CVE-2022-46363)

  - Apache CXF：SSRF 漏洞 (CVE-2022-46364)

  - keycloak：客户端注册端点不检查标记吊销 (CVE-2023-0091)

  - keycloak：通过被盗的 uuid 代码假冒用户 (CVE-2023-0264)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2023: 0552 公告中提及的多个漏洞的影响。

  - jquery：通过跨域 ajax 请求的跨站脚本 (CVE-2015-9251)

  - bootstrap：data-target 属性的 XSS (CVE-2016-10735)

  - nodejs-moment: 正则表达式拒绝服务 (CVE-2017-18214)

  - bootstrap：重叠数据父级属性中的跨站脚本 (XSS) (CVE-2018-14040)

  - bootstrap：scrollspy 的 data-target 属性中的跨站脚本 (XSS) (CVE-2018-14041)

  - bootstrap：工具提示的 data-container 属性中的跨站脚本 (XSS) (CVE-2018-14042)

  - jquery：对象原型中存在原型污染，导致拒绝服务、远程代码执行或属性注入 (CVE-2019-11358)

  - bootstrap：工具提示或弹出框 data-template 属性的 XSS (CVE-2019-8331)

  - jquery：存在跨站脚本，这是 injQuery.htmlPrefilter 方法不当所致 (CVE-2020-11022)

  - jquery：通过传递给 DOM 操纵方法的 HTML 中的 <option> 标签执行不受信任的代码 (CVE-2020-11023)

  - wildfly-elytron：可能通过使用不安全的比较器进行时序攻击 (CVE-2022-3143)

  - jettison: 由堆栈溢出导致的解析器崩溃 (CVE-2022-40149)

  - jettison: 通过用户提供的 XML 或 JSON 数据耗尽内存 (CVE-2022-40150)

  - Woodstox-core：用于序列化 XML 数据的 Woodstox 容易受到拒绝服务攻击 (CVE-2022-40152)

  - jackson-databind：深层封装数组嵌套 wrt UNWRAP_SINGLE_VALUE_ARRAYS (CVE-2022-42003)

  - jackson-databind：深度嵌套数组的使用 (CVE-2022-42004)

  - mina-sshd：Java 不安全反序列化漏洞 (CVE-2022-45047)

  - jettison: 如果 map 中的值是 map 自身，则新的 new JSONObject(map) 会造成 StackOverflowError，进而导致 dos (CVE-2022-45693)

  - Apache CXF：SSRF 漏洞 (CVE-2022-46364)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2025:4437 公告中提及的多个漏洞的影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.3.13 版本用于替换 Red Hat JBoss Enterprise Application Platform 7.3.12，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.3.13 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.3.13 版本用于替换 Red Hat JBoss Enterprise Application Platform 7.3.12，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.3.13 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * com.google.code.gson-gsoncom.google.code.gson-gson 中不受信任的数据的反序列化 [eap-7.3.z] (CVE-2022-25647)

    *woodstox-corewoodstox 序列化 XML 数据容易受到拒绝服务攻击 [eap-7.3.z] (CVE-2022-40152)

    * xnioorg.xnio.StreamConnection.notifyReadClosed 记录以调试而不是 stderr [eap-7.3.z] (CVE-2022-0084)

    * artemis-commonsApache ActiveMQ Artemis DoS [eap-7.3] (CVE-2022-23913)

    * Moment.jsmoment.locale 中的路径遍历 [eap-7.3.z] (CVE-2022-24785)

    * jettison通过用户提供的 XML 或 JSON 数据导致内存耗尽 [eap-7.3.z] (CVE-2022-40150)

    * Snakeyaml由于缺少集合嵌套深度限制导致的拒绝服务 [eap-7.3.z] (CVE-2022-25857)

    * jettison堆栈溢出造成的解析器崩溃 [eap-7.3.z] (CVE-2022-40149)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2025:4226 公告中提及的多个漏洞的影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.1.10 版本用于替换 Red Hat JBoss Enterprise Application Platform 7.1.9，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.1.9 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2023: 1044 公告中提及的漏洞的影响。

  - bootstrap：重叠数据父级属性中的跨站脚本 (XSS) (CVE-2018-14040)

  - bootstrap：工具提示的 data-container 属性中的跨站脚本 (XSS) (CVE-2018-14042)

  - jquery：对象原型中存在原型污染，导致拒绝服务、远程代码执行或属性注入 (CVE-2019-11358)

  - jquery：存在跨站脚本，这是 injQuery.htmlPrefilter 方法不当所致 (CVE-2020-11022)

  - jquery：通过传递给 DOM 操纵方法的 HTML 中的 <option> 标签执行不受信任的代码 (CVE-2020-11023)

  - glob-parent：正则表达式拒绝服务 (CVE-2021-35065)

  - minimist：原型污染 (CVE-2021-44906)

  - keycloak：execute-actions-email Admin REST API 中的 HTML 注入 (CVE-2022-1274)

  - keycloak：特定情况下关于假冒的 XSS (CVE-2022-1438)

  - SnakeYaml：构造函数反序列化远程代码执行 (CVE-2022-1471)

  - Moment.js: moment.locale 中存在路径遍历漏洞 (CVE-2022-24785)

  - snakeyaml：由于缺少集合的嵌套深度限制而导致的拒绝服务漏洞 (CVE-2022-25857)

  - Undertow：可以实现 DoS，因为 Undertow 服务器会一直等待 EJB 调用的 LAST_CHUNK (CVE-2022-2764)

  - moment：导致 DoS 的低效解析算法 (CVE-2022-31129)

  - loader-utils：正则表达式拒绝服务 (CVE-2022-37603)

  - keycloak：通过双重 URL 编码的路径遍历 (CVE-2022-3782)

  - snakeyaml：org.yaml.snakeyaml.composer.Composer.composeSequenceNode 中未捕获的异常 (CVE-2022-38749)

  - snakeyaml：org.yaml.snakeyaml.constructor.BaseConstructor.constructObject 中未捕获异常 (CVE-2022-38750)

  - snakeyaml：java.base/java.util.regex.Pattern$Ques.match (CVE-2022-38751) 中未捕获异常

  - keycloak：使用 OIDC 离线刷新标记的会话接管 (CVE-2022-3916)

  - jettison: 由堆栈溢出导致的解析器崩溃 (CVE-2022-40149)

  - jettison: 通过用户提供的 XML 或 JSON 数据耗尽内存 (CVE-2022-40150)

  - keycloak：反射型 XSS 攻击 (CVE-2022-4137)

  - jackson-databind：深层封装数组嵌套 wrt UNWRAP_SINGLE_VALUE_ARRAYS (CVE-2022-42003)

  - jackson-databind：深度嵌套数组的使用 (CVE-2022-42004)

  - mina-sshd：Java 不安全反序列化漏洞 (CVE-2022-45047)

  - jettison: 如果 map 中的值是 map 自身，则新的 new JSONObject(map) 会造成 StackOverflowError，进而导致 dos (CVE-2022-45693)

  - json5: 通过解析方法在 JSON5 中造成原型污染 (CVE-2022-46175)

  - Apache CXF：目录清单/代码泄露 (CVE-2022-46363)

  - Apache CXF：SSRF 漏洞 (CVE-2022-46364)

  - keycloak：客户端注册端点不检查标记吊销 (CVE-2023-0091)

  - keycloak：通过被盗的 uuid 代码假冒用户 (CVE-2023-0264)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2023: 0554 公告中提及的漏洞的影响。

  - jquery：通过跨域 ajax 请求的跨站脚本 (CVE-2015-9251)

  - bootstrap：data-target 属性的 XSS (CVE-2016-10735)

  - nodejs-moment: 正则表达式拒绝服务 (CVE-2017-18214)

  - bootstrap：重叠数据父级属性中的跨站脚本 (XSS) (CVE-2018-14040)

  - bootstrap：scrollspy 的 data-target 属性中的跨站脚本 (XSS) (CVE-2018-14041)

  - bootstrap：工具提示的 data-container 属性中的跨站脚本 (XSS) (CVE-2018-14042)

  - jquery：对象原型中存在原型污染，导致拒绝服务、远程代码执行或属性注入 (CVE-2019-11358)

  - bootstrap：工具提示或弹出框 data-template 属性的 XSS (CVE-2019-8331)

  - jquery：存在跨站脚本，这是 injQuery.htmlPrefilter 方法不当所致 (CVE-2020-11022)

  - jquery：通过传递给 DOM 操纵方法的 HTML 中的 <option> 标签执行不受信任的代码 (CVE-2020-11023)

  - wildfly-elytron：可能通过使用不安全的比较器进行时序攻击 (

遠端主機上安裝的 Oracle Access Manager 缺少 2023 年 4 月 CPU 公告中所提及的安全性修補程式。因此，會受到多個弱點影響：

  - Oracle Fusion Middleware 的 Oracle Access Manager 產品中存在弱點 (元件：第三方 (Jython))。受影響的支援版本是 12.2.1.4.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle Access Manager。若攻擊成功，攻擊者未經授權即可造成 Oracle Access Manager 懸置或經常重複性當機 (完全 DOS)。(CVE-2019-20916)

  - Oracle Fusion Middleware 的 Oracle Access Manager 產品中存在弱點 (元件：構建指令碼 (Jettison))。受影響的支援版本是 12.2.1.4.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle Access Manager。若攻擊成功，攻擊者未經授權即可造成 Oracle Access Manager 懸置或經常重複性當機 (完全 DOS)。(CVE-2022-40149)

  - Oracle Fusion Middleware 的 Oracle Access Manager 產品中存在弱點 (元件：第三方 (Zip4j))。受影響的支援版本是 12.2.1.4.0。攻擊此弱點的難度較大，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle Access Manager。若成功攻擊此弱點，攻擊者可在未經授權的情況下，建立、刪除或修改重要資料或所有 Oracle Access Manager 可存取資料。(CVE-2023-22899)

請注意，Nessus 並未嘗試利用這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - 使用 Jettison 剖析不受信任的 XML 或 JSON 資料可能容易遭受拒絕服務攻擊 (DOS)。如果針對使用者提供的輸入執行此剖析器，則攻擊者可提供特別構建的內容，造成剖析器因堆疊溢位而損毀。此影響可能有助於發動拒絕服務攻擊。(CVE-2022-40149)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

遠端 Redhat Enterprise Linux 7 主機已安裝受到多個弱點影響的套件，如 RHSA-2023:1043 公告中所提及。

  - bootstrap：折疊 data-parent 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14040)

  - bootstrap：工具提示的 data-container 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14042)

  - jquery：物件原型中存在原型污染，會導致拒絕服務、遠端程式碼執行或屬性插入 (CVE-2019-11358)

  - jquery：存在跨網站指令碼，這是 injQuery.htmlPrefilter 方法不當所致 (CVE-2020-11022)

  - jquery：透過傳遞給 DOM 操作方法的 HTML 中的 <option> 標記，進行不受信任的程式碼執行 (CVE-2020-11023)

  - glob-parent：規則運算式拒絕服務 (CVE-2021-35065)

  - minimist：原型污染 (CVE-2021-44906)

  - keycloak：execute-actions-email Admin REST API 中的 HTML 插入 (CVE-2022-1274)

  - keycloak：在特定情況下假冒 XSS (CVE-2022-1438)

  - SnakeYaml：建構函式反序列化遠端程式碼執行 (CVE-2022-1471)

  - Undertow：當 Undertow 伺服器永遠等待 EJB 叫用的 LAST_CHUNK 時，可以實現 DoS 弱點 (CVE-2022-2764)

  - keycloak：OIDC 離線 refreshtoken 的工作階段接管 (CVE-2022-3916)

  - keycloak：反射式 XSS 攻擊 (CVE-2022-4137)

  - Moment.js：moment.locale 中存在路徑遊走弱點 (CVE-2022-24785)

  - snakeyaml：因遺漏集合的巢狀深度限制而導致拒絕服務 (CVE-2022-25857)

  - moment：低效剖析演算法可導致 DoS (CVE-2022-31129)

  - loader-utils：規則運算式拒絕服務 (CVE-2022-37603)

  - snakeyaml：org.yaml.snakeyaml.composer.Composer.composeSequenceNode 中未捕捉到的例外狀況 (CVE-2022-38749)

  - snakeyaml：org.yaml.snakeyaml.constructor.BaseConstructor.constructObject 中未捕捉到的例外狀況 (CVE-2022-38750)

  - snakeyaml：java.base/java.util.regex.Pattern$Ques.match (CVE-2022-38751) 中未捕捉到的例外狀況

  - jettison：由 stackoverflow 造成的剖析器損毀 (CVE-2022-40149)

  - jettison：透過使用者提供的 XML 或 JSON 資料耗盡記憶體 (CVE-2022-40150)

  - jackson-databind：深層包裝函式陣列巢狀 wrt UNWRAP_SINGLE_VALUE_ARRAYS (CVE-2022-42003)

  - jackson-databind：使用深度巢狀陣列 (CVE-2022-42004)

  - mina-sshd：Java 不安全的還原序列化弱點 (CVE-2022-45047)

  - jettison：如果 map 中的值是 map 本身，新的 JSONObject(map) 會造成 StackOverflowError，進而可能導致 dos (CVE-2022-45693)

  - json5：透過剖析方法在 JSON5 中造成原型污染 (CVE-2022-46175)

  - Apache CXF：目錄清單/程式碼洩漏 (CVE-2022-46363)

  - Apache CXF：SSRF 弱點 (CVE-2022-46364)

  - keycloak：用戶端註冊端點不檢查權杖撤銷 (CVE-2023-0091)

  - keycloak：透過竊取的 uuid 程式碼模擬使用者 (CVE-2023-0264)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2023:3610 公告中提及的多個弱點影響。

  - jackson-databind：使用 JDK 序列化來序列化 JsonNode 時可能發生 DoS (CVE-2021-46877)

  - maven-shared-utils：透過命令列類別命令插入 (CVE-2022-29599)

  - Jenkins plugin：Blue Ocean Plugin 中的 CSRF 弱點 (CVE-2022-30953)

  - Jenkins plugin：Blue Ocean Plugin 中缺少權限檢查 (CVE-2022-30954)

  - jettison：由 stackoverflow 造成的剖析器損毀 (CVE-2022-40149)

  - jettison：透過使用者提供的 XML 或 JSON 資料耗盡記憶體 (CVE-2022-40150)

  - jettison：如果 map 中的值是 map 本身，新的 JSONObject(map) 會造成 StackOverflowError，進而可能導致 dos (CVE-2022-45693)

  - json-smart：json-smart 中不受控制的資源消耗弱點 (資源耗盡) (CVE-2023-1370)

  - springframework：不使用前置詞雙重萬用字元模式的安全性繞過 (CVE-2023-20860)

  - springframework：Spring 運算式 DoS 弱點 (CVE-2023-20861)

  - jenkins-2-plugins/script-security：Jenkins 指令碼安全性 Plugin 中的沙箱繞過弱點 (CVE-2023-24422)

  - jenkins-2-plugin: workflow-job：Pipeline: Job Plugin 中的已儲存 XSS 弱點 (CVE-2023-32977)

  - jenkins-2-plugin: pipeline-utility-steps：Pipeline Utility Steps Plugin 中的任意檔案讀取弱點 (CVE-2023-32981)

請注意，Nessus 並未測試這些問題，而是僅根據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2023: 0552 公告中提及的多個弱點影響。

  - jquery：透過跨網域 ajax 要求發起跨網站指令碼攻擊 (CVE-2015-9251)

  - bootstrap：data-target 屬性中存在 XSS (CVE-2016-10735)

  - nodejs-moment：規則運算式拒絕服務 (CVE-2017-18214)

  - bootstrap：折疊 data-parent 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14040)

  - bootstrap：scrollspy 的 data-target 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14041)

  - bootstrap：工具提示的 data-container 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14042)

  - jquery：物件原型中存在原型污染，會導致拒絕服務、遠端程式碼執行或屬性插入 (CVE-2019-11358)

  - bootstrap：工具提示或彈出框 data-template 屬性中存在 XSS 弱點 (CVE-2019-8331)

  - jquery：存在跨網站指令碼，這是 injQuery.htmlPrefilter 方法不當所致 (CVE-2020-11022)

  - jquery：透過傳遞給 DOM 操作方法的 HTML 中的 <option> 標記，進行不受信任的程式碼執行 (CVE-2020-11023)

  - wildfly-elytron：可能透過使用不安全的比較器進行計時攻擊 (CVE-2022-3143)

  - jettison: 由 stackoverflow 造成的剖析器損毀 (CVE-2022-40149)

  - jettison: 透過使用者提供的 XML 或 JSON 資料耗盡記憶體 (CVE-2022-40150)

  -woodstox-core：序列化 XML 資料的 woodstox 容易遭受拒絕服務攻擊 (CVE-2022-40152)

  - jackson-databind：深層包裝函式陣列巢狀 wrt UNWRAP_SINGLE_VALUE_ARRAYS (CVE-2022-42003)

  - jackson-databind：使用深度巢狀陣列 (CVE-2022-42004)

  - mina-sshd：Java 不安全的還原序列化弱點 (CVE-2022-45047)

  - jettison: 如果 map 中的值是 map 本身，新的 JSONObject(map) 會造成 StackOverflowError，進而可能導致 dos (CVE-2022-45693)

  - Apache CXF：SSRF 弱點 (CVE-2022-46364)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
174465	Oracle Access Manager 多个漏洞（2023 年 4 月 CPU）	Nessus	Misc.	2023/4/19	2023/4/21	high
258230	Linux Distros 未修补的漏洞：CVE-2022-40149	Nessus	Misc.	2025/8/30	2025/8/30	high
194324	RHEL 8：jenkins and jenkins-2-plugins (RHSA-2023:3610)	Nessus	Red Hat Local Security Checks	2024/4/28	2024/11/7	critical
172041	RHEL 7：RHEL 7 上的 Red Hat Single Sign-On 7.6.2 安全更新（重要）(RHSA-2023:1043)	Nessus	Red Hat Local Security Checks	2023/3/2	2025/1/24	critical
170909	RHEL 7：Red Hat JBoss Enterprise Application Platform 7.4.9 安全更新（重要）(RHSA-2023: 0552)	Nessus	Red Hat Local Security Checks	2023/1/31	2025/1/24	critical
235116	RHEL 7Red Hat JBoss Enterprise Application Platform 7.3.13 (RHSA-2025:4437)	Nessus	Red Hat Local Security Checks	2025/5/5	2025/6/5	high
237013	RHEL 7：RHEL 7 上的 Red Hat JBoss Enterprise Application Platform 7.1.10 (RHSA-2025:4226)	Nessus	Red Hat Local Security Checks	2025/5/21	2025/6/5	high
172042	RHEL 8：RHEL 8 上的 Red Hat Single Sign-On 7.6.2 安全更新（重要） (RHSA-2023: 1044)	Nessus	Red Hat Local Security Checks	2023/3/2	2025/1/24	critical
170911	RHEL 9：Red Hat JBoss Enterprise Application Platform 7.4.9 安全更新（重要）(RHSA-2023: 0554)	Nessus	Red Hat Local Security Checks	2023/1/31	2025/1/24	critical
174465	Oracle Access Manager 多個弱點 (2023 年 4 月 CPU)	Nessus	Misc.	2023/4/19	2023/4/21	high
258230	Linux Distros 未修補的弱點：CVE-2022-40149	Nessus	Misc.	2025/8/30	2025/8/30	high
172041	RHEL 7：RHEL 7 上的 Red Hat Single Sign-On 7.6.2 安全性更新 (重要) (RHSA-2023:1043)	Nessus	Red Hat Local Security Checks	2023/3/2	2025/1/24	critical
194324	RHEL 8：jenkins and jenkins-2-plugins (RHSA-2023:3610)	Nessus	Red Hat Local Security Checks	2024/4/28	2024/11/7	critical
170909	RHEL 7：Red Hat JBoss Enterprise Application Platform 7.4.9 安全性更新 (重要) (RHSA-2023: 0552)	Nessus	Red Hat Local Security Checks	2023/1/31	2025/1/24	critical

检测

插件搜索

high

high

critical

critical

critical

high

high

critical

critical

high

high

critical

critical

critical