根据其自我报告的版本号，jQuery 的版本为 1.9.0 之前的版本。因此，它可能受到跨站脚本漏洞的影响，因为加载方法无法识别和删除包含一个空白字符的“<script>” HTML 标记。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程 Oracle Linux 8 主机上安装的程序包受到 ELSA-2021-9552 公告中提及的多个漏洞的影响。

  - 在高于或等于 1.0.3 版以及 3.5.0 版之前的 jQuery 中，如果将包含 <option> 元素的 HTML 从不受信任的来源传递至 jQuery 的任一 DOM 操作方法（即 .html()、append() 和其他方法），即使经过审查，也可能执行不受信任的代码。已在 jQuery 3.5.0 中修补此问题。
    (CVE-2020-11023)

  - 1.9.0 之前版本的 jquery 允许通过 load 方法发动跨站脚本攻击。load 方法无法识别和删除包含空白字符的 <script> HTML 标签（即：</script >），这将导致执行随附的脚本逻辑。(CVE-2020-7656)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2021: 4142 公告中提及的多个漏洞影响。

  - jquery：对象原型中存在原型污染，导致拒绝服务、远程代码执行或属性注入 (CVE-2019-11358)

  - jquery：通过传递给 DOM 操纵方法的 HTML 中的 <option> 标签执行不受信任的代码 (CVE-2020-11023)

  - jquery：通过包含空格的 <script> HTML 标签执行跨站脚本攻击 (XSS) (CVE-2020-7656)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 AlmaLinux 8 主机存在安装的程序包该程序包受到 ALSA-2021:4142 公告中提及的多个漏洞的影响。

  - 1.9.0 之前版本的 jquery 允许通过 load 方法发动跨站脚本攻击。该加载方法无法识别并删除包含空格字符的 <script> HTML 标记即 </script >从而导致执行内含的脚本逻辑。 (CVE-2020-7656)

  - 在高于或等于 1.0.3 版以及 3.5.0 版之前的 jQuery 中，如果将包含 <option> 元素的 HTML 从不受信任的来源传递至 jQuery 的任一 DOM 操作方法（即 .html()、append() 和其他方法），即使经过审查，也可能执行不受信任的代码。已在 jQuery 3.5.0 中修补此问题。
    (CVE-2020-11023)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 1.9.0 之前版本的 jquery 允许通过 load 方法发动跨站脚本攻击。load 方法无法识别和删除包含空白字符的 <script> HTML 标签，即： </script >，这导致执行随附的脚本逻辑。 (CVE-2020-7656)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 CentOS Linux 8 主机上安装的程序包受到 CESA-2021: 4142 公告中提及的多个漏洞影响。

  - jquery：通过传递给 DOM 操纵方法的 HTML 中的 <option> 标签执行不受信任的代码 (CVE-2020-11023)

  - jquery：通过包含空格的 <script> HTML 标签执行跨站脚本攻击 (XSS) (CVE-2020-7656)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程 Redhat Enterprise Linux 6/7/8 主机上安装的多个程序包受到 RHSA-2020:4211 公告中提及的多个漏洞影响。

  - jquery：通过包含空格的 <script> HTML 标签执行跨站脚本攻击 (XSS) (CVE-2020-7656)

  - jquery：存在跨站脚本，这是 injQuery.htmlPrefilter 方法不当所致 (CVE-2020-11022)

  - jquery：通过传递给 DOM 操纵方法的 HTML 中的 <option> 标签执行不受信任的代码 (CVE-2020-11023)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Rocky Linux 8 主机上存在安装的程序包该程序包受到公告 RLSA-2021:4142 中提及的多个漏洞的影响。

  - 由于 Object.prototype 污染，版本低于 3.4.0 的 jQuery（用于 Drupal、Backdrop CMS 和其他产品）未正确处理 jQuery.extend (true, {}, ...)。如果未审查的源对象包含可枚举的
    __proto__ property，则其可能扩展本机 Object.prototype。(CVE-2019-11358)

  - 在高于或等于 1.0.3 版以及 3.5.0 版之前的 jQuery 中，如果将包含 <option> 元素的 HTML 从不受信任的来源传递至 jQuery 的任一 DOM 操作方法（即 .html()、append() 和其他方法），即使经过审查，也可能执行不受信任的代码。已在 jQuery 3.5.0 中修补此问题。
    (CVE-2020-11023)

  - 1.9.0 之前版本的 jquery 允许通过 load 方法发动跨站脚本攻击。该加载方法无法识别并删除包含空格字符的 <script> HTML 标记即 </script >从而导致执行内含的脚本逻辑。 (CVE-2020-7656)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上运行的 Tenable Nessus 应用程序为 10.4.2 或之前版本。因此，它受到低于版本 3.0.8 的 OpenSSL、低于版本 2.3.2 的 spin.js 以及低于版本 1.13.2 的 datatables.net 中的多个漏洞影响：
    
    - 如果攻击者能够发现客户端与服务器之间的真正连接，则可利用漏洞向服务器发送测试消息并记录消息处理用时。在发送足够多的消息后，攻击者可恢复用于原始连接的预主密钥。(CVE-2022-4304)

    - 函数 PEM_read_bio_ex() 会读取 BIO 中的 PEM 文件，并解析和解码任何标头数据和负载数据。在某些情况下，会发生双重释放。这很有可能会导致崩溃。(CVE-2022-4450)

    - 公共 API 函数 BIO_new_NDEF 是辅助函数，用于通过 BIO 对 ASN.1 数据作流式处理。在某些情况下，由于 BIO 链未正确清理，所以调用程序传递的 BIO 仍会保留指向之前已释放的 filter BIO 的内部指针。这很有可能会导致崩溃。(CVE-2023-0215)

    - 当应用程序尝试加载畸形 PKCS7 数据时，会触发读取时的无效指针取消引用。取消引用会导致应用程序崩溃，进而导致拒绝服务攻击。(CVE-2023-0216)

    - 当应用程序尝试使用 EVP_PKEY_public_check() 函数检查畸形 DSA 公钥时，会触发读取时的无效指针取消引用。这很有可能会导致应用程序崩溃。(CVE-2023-0217)

    - 在 PKCS7 signed 或 signedAndEnveloped 数据上验证签名时，会出现空指针取消引用漏洞。如果 OpenSSL 库中存在用于签名的哈希算法，但哈希算法的实现不可用，摘要初始化将无法进行。(CVE-2023-0401) 

    - 读取缓冲区溢出可在 X.509 证书验证中触发，在名称限制检查中更是如此。这可能会导致崩溃，进而导致拒绝服务攻击。(CVE-2022-4203)

    - 由于对 https 的修复不完整，datatables.net 的所有版本都容易受到 Prototype Pollution 的影响：/snyk.io/vuln/SNYK-JS-DATATABLESNET-598806. (CVE-2020-28458)

    - 使用低于 1.11.3 版的 datatables.net 时，如果将数组传递给 HTML 转义实体函数，则不会转义其内容。(CVE-2021-23445)

    - 由于 Object.prototype 污染，版本低于 3.4.0 的 jQuery（用于 Drupal、Backdrop CMS 和其他产品）未正确处理 jQuery.extend (true, {}, ...)。若未清理的来源对象包含可枚举的 __proto__ property，则可扩大本机 Object.prototype。(CVE-2019-11358)

    - 在高于或等于 1.0.3 版以及 3.5.0 版之前的 jQuery 中，如果将包含 <option> 元素的 HTML 从不受信任的来源传递至任一 jQuery DOM 操作方法，即使经过审查，也可能执行不受信任的代码。(CVE-2020-11023)

    - 低于 1.9.0 版的 jquery 允许通过 load 方法进行跨站脚本攻击，该方法无法识别和删除 <script> HTML 标记，这些标记包含空白字符并无法触发所含脚本逻辑的执行。(CVE-2020-7656)

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
114501	jQuery < 1.9.0 跨站脚本	Web App Scanning	Component Vulnerability	2024/11/14	2024/11/14	medium
155616	Oracle Linux 8：pcs (ELSA-2021-9552)	Nessus	Oracle Linux Local Security Checks	2021/11/19	2025/1/24	medium
155058	RHEL 8：pcs (RHSA-2021: 4142)	Nessus	Red Hat Local Security Checks	2021/11/11	2025/1/24	medium
157556	AlmaLinux 8pcs (ALSA-2021:4142)	Nessus	Alma Linux Local Security Checks	2022/2/9	2025/1/24	medium
230244	Linux Distros 未修补的漏洞: CVE-2020-7656	Nessus	Misc.	2025/3/5	2025/9/2	medium
155098	CentOS 8：pcs (CESA-2021: 4142)	Nessus	CentOS Local Security Checks	2021/11/11	2025/1/24	medium
194284	RHEL 6/7/8：Red Hat AMQ Interconnect 1.9.0 (RHSA-2020:4211)	Nessus	Red Hat Local Security Checks	2024/4/28	2025/1/24	medium
184665	Rocky Linux 8pcs (RLSA-2021:4142)	Nessus	Rocky Linux Local Security Checks	2023/11/6	2025/1/24	medium
172124	Tenable Nessus <= 10.4.2 多个漏洞 (TNS-2023-09)	Nessus	Misc.	2023/3/6	2025/1/24	high

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium

medium

high