由于 Dojo 程序包，远程主机上安装的 IBM WebSphere Application Server 受到一个远程代码执行漏洞的影响，该 Dojo 程序包容易通过 setObject 函数受到 Prototype Pollution 的影响。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

配置了 adminCenter-1.0 功能的 IBM WebSphere Application Server Liberty 22.0.0.3 之前的 17.0.0.3 版本容易通过 Dojo 中的 setObject 函数受到 Prototype Pollution 的影响。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WebCenter Sites 版本 12.2.1.3.0 和 12.2.1.4.0 受到 2022 年 10 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Fusion Middleware 的 Oracle WebCenter Sites 产品中存在漏洞（组件：集中式第三方 Jars (dojo)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者（可通过 HTTP 进行网络访问）破坏 Oracle WebCenter Sites。成功攻击此漏洞可导致接管 Oracle WebCenter Sites.。CVE-2021-23450)

  - Oracle Fusion Middleware 的 Oracle WebCenter Sites 产品中存在漏洞（组件：WebCenter Sites (XStream)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者（可通过 HTTP 进行网络访问）破坏 Oracle WebCenter Sites。成功攻击该漏洞可导致在未经授权的情况下造成 Oracle WebCenter Sites 挂起或频繁反复崩溃（完全 DOS）（CVE-2021-43859）。

  - Oracle Fusion Middleware 的 Oracle WebCenter Sites 产品中存在漏洞（组件：WebCenter Sites (CKEditor)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者（可通过 HTTP 进行网络访问）破坏 Oracle WebCenter Sites。成功攻击该漏洞可导致在未经授权的情况下造成 Oracle WebCenter Sites 挂起或频繁反复崩溃（完全 DOS）（CVE-2022-24729）。

  - CVE-2022-32532	Oracle Fusion Middleware 的 Oracle WebCenter Sites 产品中存在漏洞（组件：WebCenter Sites (Apache Shiro)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者（可通过 HTTP 进行网络访问）破坏 Oracle WebCenter Sites。成功攻击此漏洞可导致接管 Oracle WebCenter Sites.。CVE-2022-32532)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Ubuntu 16.04 LTS/20.04 LTS/22.04 LTS 主机上安装的多个程序包受到 USN-7569-1 公告中提及的多个漏洞影响。

    发现 Dojo 未正确处理 DataGrid。攻击者可能利用此问题执行任意代码。此问题仅影响 Ubuntu 16.04 LTS 和 Ubuntu 18.04 LTS。

    (CVE-2018-15494)

    发现 Dojo 容易受到原型污染的影响。攻击者可能利用此问题执行任意代码。(CVE-2021-23450)

    Jonathan Leitsshuh 发现 Dojo 未正确审查某些输入。攻击者可能利用此问题执行跨站脚本 (XSS) 攻击。此问题仅影响 Ubuntu 16.04 LTS、Ubuntu 18.04 LTS 和 Ubuntu 20.04 LTS。

    （CVE-2019-10785、CVE-2020-4051）

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - dojo 程序包的所有版本都容易受到通过 setObject 函数触发的原型污染漏洞的影响。
    (CVE-2021-23450)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Debian 10 主机上安装的程序包受到 dla-3289 公告中提及的多个漏洞影响。

  - 在 Dijit 1.11.11 之前版本、1.12.0 至 1.12.9 版、1.13.0 至 1.13.8 版、1.14.0 至 1.14.7 版、1.15.0 至 1.15.4 版、1.16.0 至 1.16.3 版中，Editor 的 LinkDialog 插件中存在跨站脚本漏洞。此问题已在 1.11.11、1.12.9、1.13.8、1.14.7、1.15.4、1.16.3 版中修复。(CVE-2020-4051)

  - dojo 程序包的所有版本都容易受到通过 setObject 函数触发的原型污染漏洞的影响。
    (CVE-2021-23450)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle WebLogic Server 版本缺少 2022 年 7 月关键补丁更新 (CPU) 中的安全补丁。因此，该应用程序受到多个漏洞的影响，其中包括：

  - Oracle Fusion Middleware 的 Oracle WebLogic Server  产品中的漏洞（组件：Third Party Tools、Samples (Spring Framework)）。支持的版本中受影响的是 12.2.1.3.0、12.2.1.4.0 和  14.1.1.0.0。可轻易遭到利用的漏洞允许具有网络访问权限且未经身份验证的攻击者通过 HTTP 危害 Oracle WebLogic Server。成功利用此漏洞进行攻击可导致接管 Oracle WebLogic Server。(CVE-2022-22965)

  - Oracle Fusion Middleware 的 Oracle WebLogic Server  产品中的漏洞（组件：Centralized Third Party Jars (OWASP Enterprise Security API)）。支持的版本中受影响的是 12.2.1.3.0、12.2.1.4.0 和  14.1.1.0.0。可轻易遭到利用的漏洞允许具有网络访问权限且未经身份验证的攻击者通过 HTTP 危害 Oracle WebLogic Server。成功利用此漏洞进行攻击可导致接管 Oracle WebLogic Server。(CVE-2022-23457)

  - Oracle Fusion Middleware 的 Oracle WebLogic Server  产品中的漏洞（组件：Centralized Third Party Jars (Apache Maven)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。
    可轻易遭到利用的漏洞允许具有网络访问权限且未经身份验证的攻击者通过 HTTP 危害 Oracle WebLogic Server。若攻击成功，攻击者可在未经授权的情况下创建、删除或修改关键数据或 Oracle WebLogic Server 的所有可访问数据，并且未经授权即可访问关键数据或完整访问 Oracle WebLogic Server 的所有可访问数据。(CVE-2021-26291)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle WebCenter Portal 版本缺少 2022 年 10 月关键补丁更新 (CPU) 中的安全补丁。因此，该应用程序受到多个漏洞的影响：

  - Oracle Communications Applications 的 Oracle Communications Convergence 产品中存在漏洞（组件：框架 (dojo)）。支持的版本中受影响的是 3.0.3.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Communications Convergence。成功利用此漏洞进行攻击可导致接管 Oracle Communications Convergence。(CVE-2021-23450)

  - Oracle Fusion Middleware 的 Oracle WebCenter Portal 产品中存在漏洞（组件：安全框架 (jackson-databind)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle WebCenter Portal。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 Oracle WebCenter Portal 挂起或频繁出现崩溃（完整 DOS）(CVE-2020-36518)。

  - Oracle Fusion Middleware 的 Oracle WebCenter Portal 产品中存在漏洞（组件：安全框架 (Apache Santuario XML Security For Java)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle WebCenter Portal。成功攻击此漏洞可导致在未经授权的情况下访问关键数据，或完整访问所有可供访问的 Oracle WebCenter Portal 数据。(CVE-2021-40690)

请注意，Nessus 并不试图利用此问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Enterprise Manager Ops Center 12.4.0.0 版本缺少 2022 年 10 月关键修补程序更新 (CPU) 中记录的安全补丁。因此，它受到 Networking (dojo) 组件中的漏洞的影响。轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Enterprise Manager Ops Center。成功攻击此漏洞可导致接管 Enterprise Manager Ops Center。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Primavera Unifier 版本受到 2022 年 4 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Construction and Engineering 的 Primavera Unifier 产品存在漏洞（组件：平台 (dojo)）。支持的版本中受影响的为 17.7-17.12、18.8、19.12、20.12 和 21.12。可轻松利用的漏洞允许低权限攻击者通过 HTTP 进行网络访问，从而危害 Primavera Unifier。成功利用此漏洞进行攻击可导致：在未经授权的情况下造成 Primavera Unifier 挂起或频繁出现重复性崩溃（完全 DOS）；在未经授权的情况下更新、插入或删除对部分 Primavera Unifier 可访问数据的访问权限；以及在未经授权的情况下对一部分 Primavera Unifier 可访问数据进行读取访问。(CVE-2021-23450)

  - Oracle Fusion Middleware 的 Oracle WebLogic Server  产品中的漏洞（组件：控制台、示例 (jQueryUI)）。支持的版本中受影响的是 12.2.1.3.0、12.2.1.4.0 和  14.1.1.0.0。
    可轻易遭到利用的漏洞允许具有网络访问权限且未经身份验证的攻击者通过 HTTP 危害 Oracle WebLogic Server。若要成功发动攻击，必须与除攻击者以外的其他人进行交互；尽管 Oracle WebLogic Server 中存在此漏洞，但攻击也可能会严重影响到其他产品（范围变更）。成功利用此漏洞进行攻击可导致在未经授权的情况下更新、插入或删除某些 Oracle WebLogic Server 可访问数据的访问权限，以及对 Oracle WebLogic Server 可访问数据子集进行未经授权的读取访问。(CVE-2021-41184)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。

远程主机上安装的 IBM Engineering Requirements Management DOORS（以前称为 IBM Rational DOORS）版本是 9.7.2.9 之前的 9.7.2.10。因此如公告 7238992 所述受到多个漏洞的影响。

  - CKEditor4 是开源 WYSIWYG HTML 编辑器。在受影响的版本中的核心 HTML 处理模块中发现一个漏洞，该漏洞可能影响 CKEditor 4 使用的所有插件。攻击者可利用此漏洞，注入格式错误的注释 HTML 绕过内容审查，进而执行 JavaScript 代码。此漏洞会影响使用 CKEditor 4 4.17.0 之前版本的所有用户。此问题已得到确认和修补。版本 4.17.0 中将提供修补程序。(CVE-2021-41165)

  - CKEditor4 是开源 WYSIWYG HTML 编辑器。在受影响的版本中的高级内容过滤器 (ACF) 模块中发现一个漏洞，该漏洞可能影响 CKEditor 4 使用的所有插件。攻击者可利用此漏洞，注入格式错误的 HTML 绕过内容审查，进而执行 JavaScript 代码。此漏洞会影响使用 CKEditor 4 4.17.0 之前版本的所有用户。此问题已得到确认和修补。版本 4.17.0 中将提供修补程序。(CVE-2021-41164)

  - 可通过诱骗受害者将特制的文本粘贴到特定对话框的“样式”输入中在 4.16 之前的 CKEditor 4 内执行 ReDoS 型攻击在对话框插件的高级选项卡中。 (CVE-2021-26271)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
172080	IBM WebSphere Application Server 7.x <= 7.0.0.45 / 8.0.x <= 8.0.0.15 / 8.5.x < 8.5.5.22 / 9.x < 9.0.5.12 RCE	Nessus	Web Servers	2023/3/3	2024/10/23	critical
172081	IBM WebSphere Application Server Liberty 17.0.0.3 < 22.0.0.3 信息泄露漏洞 (6585704)	Nessus	Web Servers	2023/3/3	2025/8/13	critical
166377	Oracle WebCenter Sites（2022 年 10 月 CPU）	Nessus	Windows	2022/10/21	2023/10/9	critical
240163	Ubuntu 16.04 LTS / 20.04 LTS / 22.04 LTSDojo 漏洞 (USN-7569-1)	Nessus	Ubuntu Local Security Checks	2025/6/18	2025/6/18	critical
259090	Linux Distros 未修补的漏洞：CVE-2021-23450	Nessus	Misc.	2025/8/30	2025/8/30	critical
170878	Debian DLA-3289-1：dojo - LTS 安全更新	Nessus	Debian Local Security Checks	2023/1/31	2025/1/22	critical
163298	Oracle WebLogic Server（2022 年 7 月 CPU）	Nessus	Misc.	2022/7/20	2024/1/4	critical
166335	Oracle WebCenter Portal 多个漏洞（2022 年 10 月 CPU）	Nessus	Misc.	2022/10/20	2023/10/24	critical
170175	Oracle Enterprise Manager Ops Center UI 和其他补丁（2022 年 10 月 CPU）	Nessus	Misc.	2023/1/19	2023/9/7	critical
159919	Oracle Primavera Unifier（2022 年 4 月 CPU）	Nessus	CGI abuses	2022/4/20	2024/10/23	critical
242323	IBM Engineering Request Management DOORS 9.7.2.9 < 9.7.2.10 多个漏洞 (7238992)	Nessus	Windows	2025/7/18	2025/7/22	medium

检测

插件搜索

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

medium