远程 Web 服务器上运行的 Jenkins Enterprise 或 Jenkins Operations Center 版本为低于 2.277.43.0.3 的 2.277.x 或低于 2.319.1.5 的 2.x。因此，其会受到多个漏洞的影响，其中包括：

  - 读取特别构建的 TAR 存档时，可以进行压缩以分配大量内存，最终造成内存不足错误，即使对于非常小的输入也是如此。此漏洞可用于对使用 Compress' tar 程序包的服务发动拒绝服务攻击。(CVE-2021-35517)

  - jsoup 是一个用于处理 HTML 的 Java 库。使用 1.14.2 之前的 jsoup 版本解析不受信任的 HTML 或 XML 的用户可能容易受到 DOS 攻击。如果在用户提供的输入上运行解析器，攻击者可能提供导致解析器卡住（无限循环，直到被取消）的内容，进而造成完成过程比往常更慢或者抛出非预期的异常。此影响可能支持拒绝服务攻击。已在 1.14.2 版本中修复此问题。有一些可用的变通方案。用户可限制输入解析进程的速率，根据系统资源限制输入大小，及/或实现线程监视程序，以限制解析运行时并造成超时问题。(CVE-2021-37714)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2022: 5555 公告中提及的多个漏洞影响。

  - springframework：通过恶意输入导致插入额外的日志条目 (CVE-2021-22096)

  - nodejs-trim-newlines：.end() 方法中的 ReDoS (CVE-2021-33623)

  - apache-commons-compress：读取特别构建的 7Z 存档文件时出现无限循环 (CVE-2021-35515)

  - apache-commons-compress：读取特别构建 7Z 存档文件时内存分配过多 (CVE-2021-35516)

  - apache-commons-compress：读取特别构建 TAR 存档文件时内存分配过多 (CVE-2021-35517)

  - apache-commons-compress：读取特别构建 ZIP 存档文件时内存分配过多 (CVE-2021-36090)

  - nodejs-ansi-regex：匹配 ANSI 转义代码的正则表达式拒绝服务 (ReDoS) (CVE-2021-3807)

  - spring-expression：通过特别构建的 SpEL 表达式造成拒绝服务 (CVE-2022-22950)

  -semantic-release：如果被屏蔽的密码包含被排除在 uri 编码之外的字符，则该密码可能会泄露 (CVE-2022-31051)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle JDeveloper 版本缺少一个安全修补程序。因此，其会受到 2024 年 1 月 CPU 公告中提及的多个漏洞影响。 
  - Oracle Fusion Middleware 的 Oracle JDeveloper 产品中的漏洞（组件：Oracle JDeveloper (Apache Commons Compress)）。支持的版本中受影响的是 12.2.1.4.0。此漏洞很容易被利用，其允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle JDeveloper。若攻击成功，攻击者在未经授权的情况下可造成 Oracle JDeveloper 挂起或频繁崩溃（完全 DOS）。(CVE-2021-36090)

  - Oracle Fusion Middleware 的 Oracle JDeveloper 产品中的漏洞（组件：ADF Faces (Google Guava)）。支持的版本中受影响的是 12.2.1.4.0。可轻松利用的漏洞允许低权限攻击者登录 Oracle JDeveloper 执行的基础结构，从而破坏 Oracle JDeveloper。若攻击成功，攻击者可在未经授权的情况下创建、删除或修改关键数据或所有的 Oracle JDeveloper 可访问数据，并且未经授权即可访问关键数据或完整访问所有的 Oracle JDeveloper 可访问数据。(CVE-2023-2976)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 读取特别构建的 TAR 存档时，可以进行压缩以分配大量内存，最终造成内存不足错误，即使对于非常小的输入也是如此。此漏洞可用于对使用 Compress' tar 程序包的服务发动拒绝服务攻击。(CVE-2021-35517)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程主机上运行的 Atlassian Confluence Server 版本受到 CONFSERVER-96102 公告中提及的一个漏洞影响。

  - 读取特别构建的 TAR 存档时，可以进行压缩以分配大量内存，最终造成内存不足错误，即使对于非常小的输入也是如此。此漏洞可用于对使用 Compress' tar 程序包的服务发动拒绝服务攻击。(CVE-2021-35517)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
158092	Jenkins Enterprise and Operations Center < 2.277.43.0.3 / 2.319.1.5 多个漏洞（CloudBees 安全公告 2021-12-01）	Nessus	CGI abuses	2022/2/16	2024/6/4	high
163260	RHEL 8：RHV Manager (ovirt-engine) [ovirt-4.5.1] (RHSA-2022: 5555)	Nessus	Red Hat Local Security Checks	2022/7/15	2024/11/7	high
189243	Oracle JDeveloper 多个漏洞（2024 年 1 月 CPU）	Nessus	Misc.	2024/1/19	2025/2/26	high
223778	Linux Distros 未修补的漏洞: CVE-2021-35517	Nessus	Misc.	2025/3/5	2025/9/1	high
202696	Atlassian Confluence 7.19.23 < 7.19.25/8.5.x < 8.5.12/8.9.x < 8.9.4 (CONFSERVER-96102)	Nessus	CGI abuses	2024/7/19	2024/7/19	high

检测

插件搜索

high

high

high

high

high