遠端 Redhat Enterprise Linux 8 主機上安裝的套件受到 RHSA-2025:9318 公告中提及的多個弱點影響。

    javapackages-tools 套件提供巨集和指令碼以支援 Java 封裝。

    安全性修正：

    * apache-commons-beanutils：未預設隱藏 PropertyUtilsBean 中的類別屬性 (CVE-2019-10086)

    * commons-beanutils：Apache Commons BeanUtils：PropertyUtilsBean 預設不會隱藏列舉的 declaredClass 屬性 (CVE-2025-48734)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle Identity Manager 版本缺少安全修補程式，因此會受到 2023 年 10 月重要修補程式更新 (CPU) 公告中提及的多個弱點影響。

  - Oracle Fusion Middleware 的 Oracle Identity Manager 產品中存在的弱點 (元件：第三方 (Jettison))。受影響的支援版本是 12.2.1.4.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Identity Manager。若攻擊成功，攻擊者未經授權即可造成 Oracle Identity Manager 懸置或經常重複性當機 (完全 DOS)。(CVE-2023-1436)

  - Oracle Fusion Middleware 的 Oracle Identity Manager 產品中存在的弱點 (元件：第三方 (Apache Commons BeanUtils))。受影響的支援版本是 12.2.1.4.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Identity Manager。成功攻擊此弱點可能導致在未經授權的情況下更新、插入或刪除 Oracle Identity Manager 的若干可存取資料、在未授權的情況下讀取 Oracle Identity Manager 可存取資料的子集，以及能夠在未授權的情況下造成 Oracle Identity Manager 部分拒絕服務 (部分 DOS)。(CVE-2019-10086)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle Business Intelligence Enterprise Edition (OAS) 6.4.0.0.0 和 7.0.0.0 版本受到 2023 年 7 月 CPU 公告中提及的一個弱點影響。 

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 產品中的弱點 (元件：分析伺服器 (Apache Hive))。受影響的支援版本是 6.4.0.0.0、7.0.0.0.0 和 12.2.1.4.0 。利用此弱點的難度較低，透過 HTTP 存取網路的未經驗證的攻擊者可以藉此入侵 Oracle Business Intelligence 企業版。若攻擊成功，攻擊者可在未經授權的情況下建立、刪除或修改重要資料或所有 Oracle Business Intelligence Enterprise Edition 可存取資料，並在未經授權的情況下存取重要資料或完全存取所有 Oracle Business Intelligence Enterprise Edition 可存取資料。
    (CVE-2018-1282)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 產品中的弱點 (元件：Visual Analyzer (jackson-databind))。受影響的支援版本是 6.4.0.0.0 和 7.0.0.0.0。利用此弱點的難度較低，透過 HTTP 存取網路的未經驗證的攻擊者可以藉此入侵 Oracle Business Intelligence 企業版。若攻擊成功，攻擊者未經授權即可導致 Oracle Business Intelligence Enterprise Edition 懸置或經常重複性當機 (完全 DOS)。(CVE-2022-33980)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 產品中的弱點 (元件：Visual Analyzer (CKEditor))。受影響的支援版本是 6.4.0.0.0 和 7.0.0.0.0。利用此弱點的難度較低，透過 HTTP 存取網路的未經驗證的攻擊者可以藉此入侵 Oracle Business Intelligence 企業版。若要成功攻擊，必須要與除攻擊者以外的其他人進行人爲互動。雖然弱點位於 Oracle Business Intelligence Enterprise Edition 中，但攻擊可能對其他產品造成重大影響 (範圍改變)。若成功攻擊此弱點，攻擊者未經授權即可對部分 Oracle Business Intelligence Enterprise Edition 可存取資料執行更新、插入或刪除作業，並且可以未經授權讀取 Oracle Business Intelligence Enterprise Edition 可存取資料中的部分資料。(CVE-2023-28439)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機上安裝的多個套件受到 RHSA-2024:5856 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.1.7 是 Red Hat JBoss Enterprise Application Platform 7.1.6 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.1.7 版本資訊。

    安全性修正：

    * undertow：EAP：未依照 RFC7230 剖析欄位名稱 [eap-7.1.z] (CVE-2020-1710)

    * commons-beanutils：apache-commons-beanutils：未預設隱藏 PropertyUtilsBean 中的類別屬性 [eap-7.1.z] (CVE-2019-10086)

    * log4j：應用程式設定為使用 JMSSink 時，Log4j 1.x 中將出現遠端程式碼執行問題 [eap-7.1.z] (CVE-2022-23302)

    * jackson-databind：預設輸入處理不當導致遠端程式碼執行 [eap-7.1.z] (CVE-2019-14379)

    * undertow：HTTP/2：使用 HEADERS 框架的溢流導致記憶體無限增長 [eap-7.1.z] (CVE-2019-9514)

    * undertow：AJP 檔案讀取/包含弱點 [eap-7.1.z] (CVE-2020-1745)

    * undertow：HTTP/2：大量的資料要求導致拒絕服務 [eap-7.1.z] (CVE-2019-9511)

    * undertow：servletPath 未經正確標準化，可造成危險的應用程式對應，進而可導致安全機制迴避 [eap-7.1.z] (CVE-2020-1757)

    * undertow：在接聽 HTTPS 的 Undertow HTTP 伺服器中可能發生拒絕服務 (DOS) [eap-7.1.z] (CVE-2019-14888)

    * log4j：Chainsaw 記錄檢視器中的不安全還原序列化缺陷 [eap-7.1.z] (CVE-2022-23307)

    * netty：HttpObjectDecoder.java 允許 Content-Length 標頭隨附第二個 Content-Length 標頭 [eap-7.1.z] (CVE-2019-20445)

    * log4j：應用程式設定為使用 JMSAppender 時，Log4j 1.x 中將出現遠端程式碼執行問題 [eap-7.1.z] (CVE-2021-4104)

    * undertow：HTTP/2：使用 SETTINGS 框架的溢流導致記憶體無限增長 [eap-7.1.z] (CVE-2019-9515)

    * infinispan-core：infinispan：ReflectionUtil 類別的 invokeAccessibly 方法允許叫用私密方法 [eap-7.1.z] (CVE-2019-10174)

    * log4j：應用程式設定為使用 JDBCAppender 時，Log4j 1.x 中將出現 SQL 插入問題 [eap-7.1.z] (CVE-2022-23305)

    * jackson-databind：未封鎖來自多型態還原序列化的 logback-core 類別，進而導致遠端程式碼執行 [eap-7.1.z] (CVE-2019-12384)

    * wildfly-security-manager：安全性管理員授權繞過 (CVE-2019-14843)

    * HTTP/2：使用 PING 框架的溢流，會導致無限的記憶體增長 (CVE-2019-9512)

    * netty：未正確處理 HTTP 標頭冒號前的空格而導致 HTTP 要求走私 (CVE-2019-16869)

    * jackson-databind：org.apache.log4j.receivers.db 中的序列化小工具。* (CVE-2019-17531)

    * netty：HTTP 要求走私 (CVE-2019-20444)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

用于操纵 JavaBeans 代码的实用工具 commons-beanutils 中发现远程任意代码漏洞。对于 Debian 8“Jessie”，这一问题已在 commons-beanutils 版本 1.9.2-1+deb8u1 中修复。我们建议您升级 commons-beanutils 程序包。注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动整理和排版。

远程 CentOS Linux 7 主机上安装的多个程序包受到 RHSA-2020:0194 公告中提及的一个漏洞影响。

  - Apache Commons Beanutils 1.9.2 中，添加了一个特殊的 BeanIntrospector 类，该类可抑制攻击者通过所有 Java 对象上可用的类属性访问类加载器的能力。
    然而，我们默认没有使用 PropertyUtilsBean 的这个特性。(CVE-2019-10086)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2020: 0804 公告中提及的多个漏洞的影响。

  - thrift：当源具有特定输入数据时，存在无限循环 (CVE-2019-0205)

  - thrift：与 TJSONProtocol 或 TSimpleJSONProtocol 相关的越界读取 (CVE-2019-0210)

  - apache-commons-beanutils：未在默认情况下禁用 PropertyUtilsBean 中的类别属性 (CVE-2019-10086)

  - xml-security：Apache Santuario 可能从不受信任的来源加载 XML 解析代码 (CVE-2019-12400)

  - wildfly：如果 OpenSSL 安全提供程序在使用中，则不遵从旧版安全提供程序中的“enabled-protocols”值 (CVE-2019-14887)

  - netty：HTTP 请求走私 (CVE-2019-20444)

  - netty：HttpObjectDecoder.java 允许内容长度标头附带第二个内容长度标头 (CVE-2019-20445)

  - netty：发生 HTTP 请求走私，这是传输编码空白处理不当所致 (CVE-2020-7238)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2020: 0806 公告中提及的多个漏洞的影响。

  - thrift：当源具有特定输入数据时，存在无限循环 (CVE-2019-0205)

  - thrift：与 TJSONProtocol 或 TSimpleJSONProtocol 相关的越界读取 (CVE-2019-0210)

  - apache-commons-beanutils：未在默认情况下禁用 PropertyUtilsBean 中的类别属性 (CVE-2019-10086)

  - xml-security：Apache Santuario 可能从不受信任的来源加载 XML 解析代码 (CVE-2019-12400)

  - wildfly：如果 OpenSSL 安全提供程序在使用中，则不遵从旧版安全提供程序中的“enabled-protocols”值 (CVE-2019-14887)

  - netty：HTTP 请求走私 (CVE-2019-20444)

  - netty：HttpObjectDecoder.java 允许内容长度标头附带第二个内容长度标头 (CVE-2019-20445)

  - netty：发生 HTTP 请求走私，这是传输编码空白处理不当所致 (CVE-2020-7238)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2020: 1308 公告中提及的多个漏洞的影响。

  - apache-commons-beanutils：未在默认情况下禁用 PropertyUtilsBean 中的类别属性 (CVE-2019-10086)

  - nimbus-jose-jwt：解析 JWT 时未捕获到的异常 (CVE-2019-17195)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle E-Business Suite 版本受到 2021 年 4 月 CPU 公告中提及的多个漏洞的影响。

  - Oracle E-Business Suite 的 Oracle Applications Framework 产品中存在一个漏洞（组件：
    Home page）。支持的版本中受影响的是 12.2.10。可轻松利用的漏洞允许未经身份验证攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Applications Framework。
    成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Applications Framework 可访问数据的访问权限，以及未经授权即可访问关键数据或完整访问所有 Oracle Applications Framework 可访问数据。
    (CVE-2021-2200)

  - Oracle E-Business Suite 的 Oracle Marketing 产品中存在一个漏洞（组件：Marketing Administration）。支持的版本中受影响的是 12.2.7-12.2.10。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Marketing。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Marketing 可访问数据的访问权限，以及未经授权即可访问关键数据或完整访问所有 Oracle Marketing 可访问数据。(CVE-2021-2205)

  - Oracle E-Business Suite 的 Oracle Email Center 产品中存在一个漏洞（组件：Message Display）。支持的版本中受影响的是 12.1.1-12.1.3 和 12.2.3-12.2.10。可轻松利用的漏洞允许低权限攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Email Center。虽然漏洞位于 Oracle Email Center 中，但攻击也可能会严重影响其他产品。成功利用此漏洞进行攻击可导致在未经授权的情况下访问关键数据，或完全访问 Oracle Email Center 所有可访问数据，以及在未经授权的情况下更新、插入或删除某些 Oracle Email Center 可访问数据的访问权限。(CVE-2021-2209)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

远程主机上安装的 Application Testing Suite 13.3.0.1 版本受到 2021 年 7 月 CPU 公告中提及的一个漏洞的影响。

  - Oracle Enterprise Manager 的 Oracle Application Testing Suite 产品中存在漏洞（组件：
    Load Testing for Web Apps (Apache Commons BeanUtils)）。支持的版本中受影响的是 13.3.0.1。
    可轻松利用的漏洞允许未经身份验证攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Application Testing Suite。成功利用此漏洞进行攻击可导致在未经授权的情况下更新、插入或删除某些 Oracle Application Testing Suite 可访问数据的访问权限，以及在未经授权的情况下对 Oracle Application Testing Suite 可访问数据子集进行读取访问，并且在未经授权的情况下即可造成 Oracle Application Testing Suite 出现部分拒绝服务（部分 DoS）。(CVE-2019-10086)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

在 Apache Commons Beanutils 1.9.2 中，添加了一个特殊的 BeanIntrospector 类，该类抑制攻击者通过所有 Java 对象上可用的类属性访问类加载器的能力。然而，我们默认没有使用 PropertyUtilsBean 的这个特性。(CVE-2019-10086)

运行 CORE 5.05 / MAIN 5.05 版本的远程 NewStart CGSL 主机上安装的 apache-commons-beanutils 程序包受到漏洞的影响：

  - Apache Commons Beanutils 1.9.2 中，添加了一个特殊的 BeanIntrospector 类，该类可抑制攻击者通过所有 Java 对象上可用的类属性访问类加载器的能力。
    然而，我们默认没有使用 PropertyUtilsBean 的这个特性。(CVE-2019-10086)

请注意，Nessus 尚未测试此问题，而是只依赖于应用程序自我报告的版本号。

远程主机上运行的 IBM WebSphere Application Server 版本为 7.0.0.0 到 7.0.0.45、8.0.0.0 到 8.0.0.15、8.5.5.17 之前的 8.5.0.x，或 9.0.5.2 之前的 9.0.x。因此，该服务器会受到 Apache Commons Beanutils 子组件中的一个漏洞的影响。未经身份验证的远程攻击者会利用此漏洞，通过所有 Java 对象上可用的类属性访问类加载器。

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程主机上安装的 Oracle WebCenter Portal 版本缺少 2021 年 1 月关键补丁更新 (CPU) 中的安全补丁。因此，该应用程序受到以下漏洞的影响：

  - Oracle Fusion Middleware 的 Oracle WebCenter Portal 产品中存在漏洞（组件：Portlet Services (dom4j)）。支持的版本中受影响的是 11.1.1.9.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle WebCenter Portal。
    成功攻击此漏洞可导致接管 Oracle WebCenter Portal。(CVE-2020-10683)

  - Oracle Fusion Middleware 的 Oracle WebCenter Portal 产品中存在漏洞（组件：Security Framework (Apache Commons BeanUtils)）。支持的版本中受影响的是 11.1.1.9.0、12.2.1.3.0 和  12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle WebCenter Portal。成功攻击此漏洞可导致在未经授权的情况下更新、插入或删除某些 Oracle WebCenter Portal 可访问数据的访问权限，以及在未经授权的情况下读取访问 Oracle WebCenter Portal 的可访问数据子集，并且可在未经授权的情况下造成 Oracle WebCenter Portal 部分拒绝服务（部分 DOS）。(CVE-2019-10086)

请注意，Nessus 并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
240247	RHEL 8：javapackages-tools:201801 (RHSA-2025:9318)	Nessus	Red Hat Local Security Checks	2025/6/23	2025/6/30	high
183511	Oracle Identity Manager (2023 年 10 月 CPU)	Nessus	Misc.	2023/10/20	2023/10/23	high
178710	Oracle Business Intelligence Enterprise Edition (OAS) (2023 年 7 月 CPU)	Nessus	Misc.	2023/7/21	2024/7/19	critical
206210	RHEL 7：RHEL 7 上的 Red Hat JBoss Enterprise Application Platform 7.1.7 (RHSA-2024:5856)	Nessus	Red Hat Local Security Checks	2024/8/26	2024/11/7	critical
128123	Debian DLA-1896-1：commons-beanutils 安全更新	Nessus	Debian Local Security Checks	2019/8/26	2024/5/2	high
133310	CentOS 7：apache-commons-beanutils (RHSA-2020:0194)	Nessus	CentOS Local Security Checks	2020/1/30	2024/10/9	high
134612	RHEL 6：RHEL 6 上的 Red Hat JBoss Enterprise Application Platform 7.2.7 (RHSA-2020: 0804)	Nessus	Red Hat Local Security Checks	2020/3/16	2024/11/7	critical
134614	RHEL 8：RHEL 8 上的 Red Hat JBoss Enterprise Application Platform 7.2.7 (RHSA-2020: 0806)	Nessus	Red Hat Local Security Checks	2020/3/16	2024/11/7	critical
135185	RHEL 7：Red Hat Virtualization Engine 安全，错误补丁 4.3.9（低危）(RHSA-2020: 1308)	Nessus	Red Hat Local Security Checks	2020/4/2	2024/11/7	critical
148952	Oracle E-Business Suite 多个漏洞（2021 年 4 月 CPU）	Nessus	Misc.	2021/4/23	2024/11/28	high
152043	Oracle Application Testing Suite（2021 年 7 月 CPU）	Nessus	Misc.	2021/7/23	2023/12/6	high
133867	Amazon Linux 2：apache-commons-beanutils (ALAS-2020-1395)	Nessus	Amazon Linux Local Security Checks	2020/2/24	2024/12/11	high
144009	NewStart CGSL CORE 5.05 / MAIN 5.05：apache-commons-beanutils 漏洞 (NS-SA-2020-0100)	Nessus	NewStart CGSL Local Security Checks	2020/12/9	2022/12/5	high
141853	IBM WebSphere Application Server 7.0.0.x <= 7.0.0.45 / 8.0.0.x <= 8.0.0.15 / 8.5.x < 8.5.5.17 / 9.0.x < 9.0.5.2 Beanutils 漏洞 (CVE-2019-10086)	Nessus	Web Servers	2020/10/23	2024/10/23	high
146048	Oracle WebCenter Portal 多个漏洞（2021 年 1 月 CPU）	Nessus	Misc.	2021/2/2	2023/10/24	critical

检测

插件搜索

high

high

critical

critical

high

high

critical

critical

critical

high

high

high

high

high

critical