根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 7.86 的 7.x，低于 9.2.11 的 9.2.x 或低于 9.3.3 的 9.3.x。因而会受到多个跨站脚本漏洞的影响，这是由于其使用 1.13.0 之前的第三方组件 jQuery UI 所致。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上托管的 Moodle 安装低于 3.9.23 或低于 3.11.x 的 3.11.16。Moodle 随附的 JQuery UI 库已升级到版本 1.13.2，其中包含多个安全问题的补丁。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，jQuery UI 的版本为 1.13.0 之前的版本。因此，该应用程序受到多个漏洞影响：

 - Datepicker 小组件的 altField 选项中存在跨站脚本 (XSS) (CVE-2021-41182)

 - Datepicker 小组件的 *Text 选项中存在跨站脚本 (XSS) (CVE-2021-41183)

 .position() util 的 of 选项中存在跨站脚本 (XSS) (CVE-2021-41184)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上运行的 Tenable Nessus 应用程序为低于 10.4.0 的 10.x 版。因此，该应用程序受到多个漏洞的影响，其中包括：

  - 经过身份验证的攻击者可利用相同的代理和群集节点链接密钥，从而可能导致存在未经授权的代理日志和数据泄露情况。(CVE-2022-3499)   
  - 经过身份验证的攻击者可修改客户端行为以绕过保护机制，从而可能导致客户端与服务器之间发生意外交互。(CVE-2022-3498)

  - JQuery UI 的 checkboxradio 小组件中的跨站脚本。(CVE-2022-31160)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上安装的 Tenable SecurityCenter 应用程序版本低于 5.21.0，因此其会受到以下多个漏洞影响：

    - Composer 中存在命令注入漏洞。未经身份验证的远程攻击者可通过安装不受信任的依赖项来利用此漏洞，从而执行任意命令。(CVE-2021-41116)     
    - Composer 中存在代码注入漏洞。未经身份验证的远程攻击者可通过控制 $file 或 $identifier参数来利用此漏洞，从而执行任意命令。(CVE-2022-24828)     
    - 越界读取/写入 - Apache HTTP Server 的 mod_sed 中的越界写入漏洞让攻击者可以使用可能由攻击者提供的数据覆盖堆内存。此问题会影响 Apache HTTP 服务器 2.4、2.4.52 及之前版本。(CVE-2022-23943) 请注意，若能成功利用最严重的问题，则可能导致执行任意代码。

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 7.86 的 7.x，低于 9.2.11 的 9.2.x 或低于 9.3.3 的 9.3.x。因此，该主机受到多个漏洞的影响。

  - 1.10.0 之前版本的 jQuery UI 的对话框小组件的 jquery.ui.dialog.js 中存在跨站脚本 (XSS) 漏洞，该漏洞允许远程攻击者通过 title 选项注入任意 Web 脚本或 HTML。
    (CVE-2010-5312)

  - 1.12.0 之前版本的 jQuery UI 中存在跨站脚本 (XSS) 漏洞，该漏洞可能允许远程攻击者通过对话框函数的 closeText 参数注入任意 Web 脚本或 HTML。(CVE-2016-7103)

  - jQuery-UI 是官方的 jQuery 用户界面库。在 1.13.0 之前版本中，接受来自不受信任来源的 Datepicker 小组件的 `altField` 选项值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给 `altField` 选项的任何字符串值都会被视为 CSS 选择器。有一种解决方法是，不接受来自不受信任来源的 `altField` 选项值。
    (CVE-2021-41182)

  - jQuery-UI 是官方的 jQuery 用户界面库。在 1.13.0 之前版本中，接受来自不受信任来源的 Datepicker 小组件的不同 `*Text` 选项值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给不同 `*Text` 选项的值一律被视为纯文本，而不是 HTML。有一种解决方法是，不接受来自不受信任来源的 `*Text` 选项值。(CVE-2021-41183)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2022: 4711 公告中提及的多个漏洞影响。

  - nodejs-trim-off-newlines：通过字符串处理造成 ReDoS (CVE-2021-23425)

  - nodejs-normalize-url：数据 URL 的 ReDoS (CVE-2021-33502)

  - nodejs-ansi-regex：匹配 ANSI 转义代码的正则表达式拒绝服务 (ReDoS) (CVE-2021-3807)

  - jquery-ui：datepicker 小组件的 altField 选项中的 XSS (CVE-2021-41182)

  - jquery-ui：datepicker 小组件的 *Text 选项中的 XSS (CVE-2021-41183)

  - jquery-ui：.position() util 的“of”选项中的 XSS (CVE-2021-41184)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。

远程 Debian 10 主机上安装的程序包受到 dla-3230 公告中提及的多个漏洞影响。

  - jQuery-UI 是官方的 jQuery 用户界面库。在 1.13.0 之前版本中，接受来自不受信任来源的 Datepicker 小组件的 `altField` 选项值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给 `altField` 选项的任何字符串值都会被视为 CSS 选择器。有一种解决方法是，不接受来自不受信任来源的 `altField` 选项值。
    (CVE-2021-41182)

  - jQuery-UI 是官方的 jQuery 用户界面库。在 1.13.0 之前版本中，接受来自不受信任来源的 Datepicker 小组件的不同 `*Text` 选项值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给不同 `*Text` 选项的值一律被视为纯文本，而不是 HTML。有一种解决方法是，不接受来自不受信任来源的 `*Text` 选项值。(CVE-2021-41183)

  - jQuery-UI 是官方的 jQuery 用户界面库。- 在 1.13.0 之前的版本中，接受来自不受信任来源的 `.position()` 实用工具的 `of` 选项的值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给 `of` 选项的任何字符串值都会被视为 CSS 选择器。有一种解决方法是，不接受来自不受信任来源的 `of` 选项值。(CVE-2021-41184)

  - jQuery UI 是构建在 jQuery 之上的一组精心策划的用户界面交互、效果、小组件和主题。 1.13.2 之前的版本可能容易受到跨站脚本的攻击。对包含在标签内的输入初始化 checkboxradio 小组件会使父标签内容被视为输入标签。对这样的小组件调用 `.checkboxradio( refresh )`，然后包含编码 HTML 实体的初始 HTML 将使它们被错误地解码。这可能导致执行 JavaScript 代码。已在 jQuery UI 1.13.2 版中修补该缺陷 。如要修复此问题，可更改初始 HTML 的人可将 `label` 的所有非输入内容封装在 `span` 中。(CVE-2022-31160)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。

远程主机上安装的 Nessus Network Monitor (NNM) 版本低于 6.0.1。因此，其会受到第三方软件中的多个漏洞影响。

  请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - jQuery-UI 是官方的 jQuery 用户界面库。在 1.13.0 之前版本中，接受来自不受信任来源的 Datepicker 小组件的不同 `*Text` 选项值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给不同 `*Text` 选项的值一律被视为纯文本，而不是 HTML。有一种解决方法是，不接受来自不受信任来源的 `*Text` 选项值。(CVE-2021-41183)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Ubuntu 18.04 ESM/20.04 LTS 主机上安装的多个程序包受到 USN-6419-1 公告中提及的多个漏洞影响。

  - 1.12.0 之前版本的 jQuery UI 中存在跨站脚本 (XSS) 漏洞，该漏洞可能允许远程攻击者通过对话框函数的 closeText 参数注入任意 Web 脚本或 HTML。(CVE-2016-7103)

  - jQuery-UI 是官方的 jQuery 用户界面库。在 1.13.0 之前版本中，接受来自不受信任来源的 Datepicker 小组件的 `altField` 选项值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给 `altField` 选项的任何字符串值都会被视为 CSS 选择器。有一种解决方法是，不接受来自不受信任来源的 `altField` 选项值。
    (CVE-2021-41182)

  - jQuery-UI 是官方的 jQuery 用户界面库。在 1.13.0 之前版本中，接受来自不受信任来源的 Datepicker 小组件的不同 `*Text` 选项值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给不同 `*Text` 选项的值一律被视为纯文本，而不是 HTML。有一种解决方法是，不接受来自不受信任来源的 `*Text` 选项值。(CVE-2021-41183)

  - jQuery-UI 是官方的 jQuery 用户界面库。- 在 1.13.0 之前的版本中，接受来自不受信任来源的 `.position()` 实用工具的 `of` 选项的值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给 `of` 选项的任何字符串值都会被视为 CSS 选择器。有一种解决方法是，不接受来自不受信任来源的 `of` 选项值。(CVE-2021-41184)

  - jQuery UI 是构建在 jQuery 之上的一组精心策划的用户界面交互、效果、小组件和主题。1.13.2 之前的版本可能容易受到跨站脚本的攻击。对包含在标签内的输入初始化 checkboxradio 小组件会使父标签内容被视为输入标签。对这样的小组件调用 `.checkboxradio( refresh )`，然后包含编码 HTML 实体的初始 HTML 将使它们被错误地解码。这可能导致执行 JavaScript 代码。已在 jQuery UI 1.13.2 版中修补该缺陷。如要修复此问题，可更改初始 HTML 的人可将 `label` 的所有非输入内容封装在 `span` 中。(CVE-2022-31160)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Web 服务器上托管的 JQuery UI 库版本低于 1.13.0。因此，它受到多个跨站脚本漏洞的影响：

  - 接受来自不受信任来源的 Datepicker 小组件的“altField”选项的值可能导致执行不受信任的代码。(CVE-2021-41182)

  - 接受来自不受信任来源的 Datepicker 小组件的不同“*Text”选项的值可能导致执行不受信任的代码。(CVE-2021-41183)

  - 接受来自不受信任来源的“.position()”实用工具的“of”选项的值可能导致执行不受信任的代码。(CVE-2021-41184)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

远程主机上安装的 Oracle Business Intelligence Enterprise Edition (OAS) 6.4.0.0.0 和 7.0.0.0 版本受到 2023 年 7 月 CPU 公告中提及的一个漏洞影响。 

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞（组件：Analytics Server (Apache Hive)）。支持的版本中受影响的是 6.4.0.0.0、7.0.0.0.0 和  12.2.1.4.0。利用漏洞此漏洞的难度较低，通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。成功利用此漏洞进行攻击可导致在未经授权的情况下创建、删除或修改关键数据或所有 Oracle Business Intelligence Enterprise Edition 可访问数据的访问权限，以及未经授权即可访问关键数据或完整访问所有 Oracle Business Intelligence Enterprise Edition 可访问数据。
    (CVE-2018-1282)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞（组件：Visual Analyzer (jackson-databind)）。支持的版本中受影响的是 6.4.0.0.0 和 7.0.0.0.0。利用漏洞此漏洞的难度较低，通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。若攻击成功，攻击者可在未经授权的情况下造成 Oracle Business Intelligence Enterprise Edition 挂起或频繁出现崩溃（完整 DOS）。(CVE-2022-33980)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞（组件：Visual Analyzer (CKEditor)）。支持的版本中受影响的是 6.4.0.0.0 和 7.0.0.0.0。利用漏洞此漏洞的难度较低，通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。若要成功发动攻击，必须与攻击者以外的其他人进行人工交互；虽然该漏洞存在于 Oracle Business Intelligence Enterprise Edition 中，但攻击可能对其他产品造成重大影响（范围更改）。若成功利用此漏洞，攻击者未经授权即可对 Oracle Business Intelligence Enterprise Edition 可访问的部分数据执行更新、插入或删除操作，并且未经授权即可读取 Oracle Business Intelligence Enterprise Edition 可访问数据中的部分数据。(CVE-2023-28439)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 10 主机上安装的多个程序包受到 dla-3551 公告中提及的多个漏洞影响。

  - 由于 Object.prototype 污染，版本低于 3.4.0 的 jQuery（用于 Drupal、Backdrop CMS 和其他产品）未正确处理 jQuery.extend (true, {}, ...)。如果未审查的源对象包含可枚举的
    __proto__ property，则其可能扩展本机 Object.prototype。(CVE-2019-11358)

  - 在 Open Ticket Request System (OTRS) 7.0.x 至 7.0.7、Community Edition 6.0.x 至 6.0.19 和 Community Edition 5.0.x 至 5.0.36 中发现一个问题。攻击者这可能会向 OTRS 系统发送恶意电子邮件。如果已登录的代理用户引用了该电子邮件，则可能会造成浏览器加载外部图像资源。(CVE-2019-12248)

  - 在 Open Ticket Request System (OTRS) 7.0.x 至 7.0.8、Community Edition 6.0.x 至 6.0.19 和 Community Edition 5.0.x 至 5.0.36 中发现一个问题。在客户或外部前端中，外部注释可能会泄露代理的个人信息（如姓名和邮件地址）。(CVE-2019-12497)

  - 在 Open Ticket Request System (OTRS) Community Edition 5.0.x 至 5.0.36 和 6.0.x 至 6.0.19 中发现一个问题。以代理身份登录 OTRS 的用户通过与第三方分享嵌入式票证文章的链接，可能会在不知情的情况下泄露会话 ID。随后此标识符可能会受到滥用，从而冒充代理用户。(CVE-2019-12746)

  - 在 Open Ticket Request System (OTRS) 7.0.x 至 7.0.8 和 Community Edition 5.0.x 至 5.0.36 与 6.0.x 至 6.0.19 中发现一个问题。以拥有适当权限的代理用户身份登录 OTRS 通知的攻击者可能会利用模板中的 OTRS 标签，从而泄露已哈希的用户密码。(CVE-2019-13458)

  - 在 Open Ticket Request System (OTRS) 7.0.x 至 7.0.11 和 Community Edition 5.0.x 至 5.0.37 与 6.0.x 至 6.0.22 中发现一个问题。以代理或客户用户身份登录且具有适当权限的攻击者可以创建精心构建的字符串，其中包含用作文章正文的恶意 JavaScript 代码。攻击者会在代理为原始文章撰写答案时执行此恶意代码。
    (CVE-2019-16375)

  - 在 Open Ticket Request System (OTRS) 7.0.x 至 7.0.12 和 Community Edition 5.0.x 至 5.0.38 与 6.0.x 至 6.0.23 中发现一个问题。以代理身份登录 OTRS 的攻击者能够列出分配给其他代理的工单，甚至可以列出位于此攻击者没有权限的队列中的工单。(CVE-2019-18179)

  - 未正确检查 PostMaster（通过电子邮件发送）中或 ((OTRS)) Community Edition 和 OTRS 的上传文件（例如将文件附加到邮件）中具有过长扩展名的文件名，这使远程攻击者能够造成死循环。此问题影响以下版本：OTRS AG：((OTRS)) Community Edition 5.0.x 版 5.0.38 和之前的版本；6.0.x 版 6.0.23 和之前的版本。OTRS AG：OTRS 7.0.x 版 7.0.12 和之前的版本。(CVE-2019-18180)

  - 在高于或等于 1.2 并在 3.5.0 之前的 jQuery 版本中，如果将 HTML 从不受信任的来源传递至 jQuery 的任一 DOM 操作方法（即 .html()、append() 和其他方法），即使经过审查，也可能执行不受信任的代码。此问题已在 jQuery 3.5.0 中得到修补。(CVE-2020-11022)

  - 在高于或等于 1.0.3 版以及 3.5.0 版之前的 jQuery 中，如果将包含 <option> 元素的 HTML 从不受信任的来源传递至 jQuery 的任一 DOM 操作方法（即 .html()、append() 和其他方法），即使经过审查，也可能执行不受信任的代码。已在 jQuery 3.5.0 中修补此问题。
    (CVE-2020-11023)

  - 参数控制不当允许伪造以下屏幕的 from 字段：
    AgentTicketCompose、AgentTicketForward、AgentTicketBounce 和 AgentTicketEmailOutbound。此问题影响以下版本：((OTRS)) Community Edition 5.0.x 版 5.0.39 和之前的版本；6.0.x 版 6.0.24 和之前的版本。OTRS 7.0.x 版 7.0.13 和之前的版本。(CVE-2020-1765)

  - 由于未正确处理上传的图像，在极不可能发生的罕见情况下可能会强制代理浏览器从特别构建的 SVG 文件（渲染为内联 jpg 文件）执行恶意 JavaScript。此问题影响以下版本：((OTRS)) Community Edition 5.0.x 版 5.0.39 和之前的版本；6.0.x 版 6.0.24 和之前的版本。OTRS 7.0.x 版 7.0.13 和之前的版本。(CVE-2020-1766)

  - 代理 A 能够保存草稿（例如用于客户回复）。然后，代理 B 可以打开此草稿，完全更改文本并将其以代理 A 的名义发送。但客户无法看到这则消息是由其他代理发送的。此问题影响以下版本：((OTRS)) Community Edition 6.0.x 版 6.0.24 和之前的版本。OTRS 7.0.x 版 7.0.13 和之前的版本。(CVE-2020-1767)

  - 在登录屏幕中（在代理和客户界面中），用户名和密码字段使用的是自动填写，这可能会被视为安全问题。此问题影响以下版本：((OTRS)) Community Edition：5.0.41 和之前的版本、6.0.26 和之前的版本。OTRS：7.0.15 和之前的版本。(CVE-2020-1769)

  - 支持捆绑生成的文件肯包含不希望被泄露的敏感信息。
    此问题影响以下版本：((OTRS)) Community Edition：5.0.41 和之前的版本、6.0.26 和之前的版本。
    OTRS：7.0.15 和之前的版本。(CVE-2020-1770)

  - 攻击者可构建文章，其中包含指向带有恶意内容 (JavaScript) 的客户通讯簿的链接。当代理打开此链接时，系统会因缺少参数编码而执行 JavaScript 代码。此问题影响以下版本：((OTRS)) Community Edition：6.0.26 和之前的版本。OTRS：7.0.15 和之前的版本。(CVE-2020-1771)

  - 可以在 Token 值中使用通配符构建丢失密码请求，这允许攻击者检索由已请求新密码的用户生成的有效 Token。此问题影响以下版本：
    ((OTRS)) Community Edition 5.0.41 和之前的版本、6.0.26 和之前的版本。OTRS：7.0.15 和之前的版本。(CVE-2020-1772)

  - 能够通过进行身份验证或利用 OSA-2020-09 生成会话 ID 或密码重置标记的攻击者，或许能够预测其他用户的会话 ID、密码重置标记和自动生成的密码。此问题影响以下 ((OTRS)) Community Edition：5.0.41 和之前的版本、6.0.26 和之前的版本。OTRS；7.0.15 和之前的版本。(CVE-2020-1773)

  - 当用户下载 PGP 或 S/MIME 密钥/证书时，导出文件的私钥和公钥具有相同名称。因此，可以将其混合并将私钥（而非公钥）发送给第三方。此问题影响以下 ((OTRS)) Community Edition：5.0.42 和之前的版本、6.0.27 和之前的版本。
    OTRS：7.0.16 和之前的版本。(CVE-2020-1774)

  - 当代理用户被重命名或被设置为无效时，属于该用户的会话将保持活动状态。如果代理无效，将无法使用会话来访问工单数据。此问题影响以下 ((OTRS)) Community Edition：6.0.28 和之前的版本。OTRS：7.0.18 和之前的版本、8.0.4 和之前的版本。(CVE-2020-1776)

  - jQuery 验证插件可为现有表单提供嵌入式验证。系统将此插件作为 npm 程序包 jquery-validation 发布。1.19.3 版之前的 jquery-validation 包含一个或多个容易受到 ReDoS 攻击的正则表达式（正则表达式拒绝服务）。已在 1.19.3 中修复此问题。
    (CVE-2021-21252)

  - 攻击者会在电子邮件的正文中包含专门设计的 URL 时执行 DoS 攻击。这可导致高 CPU 使用率并造成服务质量低下，或者在极端情况下导致系统停止。此问题影响以下版本：OTRS AG ((OTRS)) Community Edition 6.0.x 版 6.0.1 和之后的版本。OTRS AG OTRS 7.0.x 版 7.0.26 和之前的版本；8.0.x 版 8.0.13 和之前的版本。(CVE-2021-21439)

  - 如果所含文件夹未被隐藏，生成的支持捆绑包会包含 S/MIME 和 PGP 私钥。此问题影响以下版本：OTRS AG ((OTRS)) Community Edition 6.0.x 版 6.0.1 和之后的版本。OTRS AG OTRS 7.0.x 版 7.0.27 和之前的版本；8.0.x 版 8.0.14 和之前的版本。(CVE-2021-21440)

  - 工单概览屏幕中存在一个 XSS 漏洞。可以通过在概览屏幕中显示电子邮件来收集各种信息。攻击者可通过向系统发送特别构建的电子邮件来发起攻击，并且这类攻击无需任何用户交互。此问题影响以下版本：OTRS AG ((OTRS)) Community Edition 6.0.x 版 6.0.1 和之后的版本。OTRS AG OTRS 7.0.x 版 7.0.26 和之前的版本。(CVE-2021-21441)

  - 代理无需必要权限，便可在批量操作屏幕中列出客户用户电子邮件。此问题影响以下版本：OTRS AG ((OTRS)) Community Edition：6.0.x 版 6.0.1 和更高版本。OTRS AG OTRS：
    7.0.27 之前的 7.0.x 版本。(CVE-2021-21443)

  - 代理无需必要权限便可列出日历中的预约。此问题影响以下版本：
    OTRS AG ((OTRS)) Community Edition：6.0.x 版 6.0.1 和更高版本。OTRS AG OTRS：7.0.27 之前的 7.0.x 版本。(CVE-2021-36091)

  - OTRS 系统配置中特别构建的字符串允许执行任何系统命令。
    (CVE-2021-36100)

  - jQuery-UI 是官方的 jQuery 用户界面库。在 1.13.0 之前版本中，接受来自不受信任来源的 Datepicker 小组件的 `altField` 选项值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给 `altField` 选项的任何字符串值都会被视为 CSS 选择器。有一种解决方法是，不接受来自不受信任来源的 `altField` 选项值。
    (CVE-2021-41182)

  - jQuery-UI 是官方的 jQuery 用户界面库。在 1.13.0 之前版本中，接受来自不受信任来源的 Datepicker 小组件的不同 `*Text` 选项值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给不同 `*Text` 选项的值一律被视为纯文本，而不是 HTML。有一种解决方法是，不接受来自不受信任来源的 `*Text` 选项值。(CVE-2021-41183)

  - jQuery-UI 是官方的 jQuery 用户界面库。- 在 1.13.0 之前的版本中，接受来自不受信任来源的 `.position()` 实用工具的 `of` 选项的值可能导致执行不受信任的代码。此问题已在 jQuery UI 1.13.0 中得以解决。现在，传递给 `of` 选项的任何字符串值都会被视为 CSS 选择器。有一种解决方法是，不接受来自不受信任来源的 `of` 选项值。(CVE-2021-41184)

  - OTRS AG OTRS、OTRS AG ((OTRS)) Community Edition 中的不当输入验证漏洞允许通过 TicketSearch Webservice 进行 SQL 注入。此问题影响以下 OTRS 版本：7.0.40 Patch 1 之前的 7.0.1、8.0.28 Patch 1 之前的 8.0.1；((OTRS)) Community Edition：6.0.1 至 6.0.34 版。(CVE-2022-4427)

  - 在对 OTRS 通用接口模块执行 TicketCreate 或 TicketUpdate 操作期间，附件的 ContentType 参数存在不当输入验证漏洞，任何经过身份验证的攻击者均可利用此漏洞对附件的 ContentType 标头执行主机标头注入攻击。此问题会影响以下 OTRS 版本：
    7.0.45 之前的 7.0.X、8.0.35 之前的 8.0.X；((OTRS)) Community Edition：从 6.0.1 到 6.0.34 版。
    (CVE-2023-38060)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程主机上运行的 Tenable Nessus 应用程序为低于 10.2.0 的 10.x 版。因此，其会受到第三方库中多个漏洞的影响，其中包括：

  - Expat（即 libexpat） 2.4.5 之前版本的 storeRawNames 中存在整数溢出漏洞。(CVE-2022-25315)

  - Expat（也称为 libexpat）2.4.4 之前版本的 doProlog 函数中存在一个整数溢出漏洞。(CVE-2022-23990)

  - Expat（也称为 libexpat）2.4.4 之前版本的 XML_GetBuffer（含非零 XML_CONTEXT_BYTES 配置）中存在一个带符号整数溢出漏洞。(CVE-2022-23852)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Splunk 版本低于测试版本。因此，该应用程序受到 SVD-2023-0808 公告中提及的一个漏洞影响。

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。由于包含嵌入空格的标记处理不当，导致可以通过 LDFLAGS 审查走私禁用的标记，方法则是将这些标记纳入另一个标记的参数中。这会影响 gccgo 编译器的使用。(CVE-2023-29405)

  - 低于 7.84.0 版的 curl 将 cookie、alt-svc 和 hsts 数据保存到本地文件时，会通过将临时名称重命名为最终目标文件名称来完成操作，从而使该操作成为原子型操作。在该重命名操作中，它可能会意外*放宽*对目标文件的权限，使更多用户可访问更新后的文件。(CVE-2022-32207)

  - decode-uri-component 0.2.0 版容易受到不当输入验证的影响，从而导致 DoS。(CVE-2022-38900)

  - Node.js 12.1.0 之前版本的 got 程序包（也已在 11.8.5 中修复）允许重定向到 UNIX 套接字。
    (CVE-2022-33987)

  - 在 webpack loader-utils 中，通过 parseQuery.js 中的名称变量，可在 parseQuery.js 的 parseQuery 函数中造成原型污染漏洞。这会影响 1.4.1 和 2.0.3 之前的所有版本。(CVE-2022-37601)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
113121	Drupal 9.2.x < 9.2.11 跨站脚本	Web App Scanning	Component Vulnerability	2022/1/20	2023/3/14	medium
113122	Drupal 7.x < 7.86 跨站脚本	Web App Scanning	Component Vulnerability	2022/1/20	2023/3/14	medium
114747	Moodle < 3.9.23 JQuery UI 库升级	Web App Scanning	Component Vulnerability	2025/4/10	2025/4/10	medium
113042	jQuery UI < 1.13.0 多个漏洞	Web App Scanning	Component Vulnerability	2021/11/4	2023/3/14	medium
113120	Drupal 9.3.x < 9.3.3 跨站脚本	Web App Scanning	Component Vulnerability	2022/1/20	2023/3/14	medium
114746	Moodle 3.11.x < 3.11.16 JQuery UI 库升级	Web App Scanning	Component Vulnerability	2025/4/10	2025/4/10	medium
166670	Tenable Nessus 10.x < 10.4.0 多个漏洞 (TNS-2022-21)	Nessus	Misc.	2022/10/28	2024/6/13	medium
160883	Tenable SecurityCenter < 5.21.0 多个漏洞 (TNS-2022-09)	Nessus	Misc.	2022/5/10	2024/5/10	critical
156863	Drupal 7.x < 7.86 / 9.2.x < 9.2.11 / 9.3.x < 9.3.3 多个漏洞 (drupal-2022-01-19)	Nessus	CGI abuses	2022/1/19	2023/11/20	medium
161619	RHEL 8：RHV Manager (ovirt-engine) [ovirt-4.5.0] (RHSA-2022: 4711)	Nessus	Red Hat Local Security Checks	2022/5/27	2024/11/7	medium
168485	Debian DLA-3230-1：jqueryui - LTS 安全更新	Nessus	Debian Local Security Checks	2022/12/8	2025/1/22	medium
161211	Nessus Network Monitor < 6.0.1 多个漏洞 (TNS-2022-10)	Nessus	Misc.	2022/5/16	2023/10/27	critical
224165	Linux Distros 未修补的漏洞: CVE-2021-41183	Nessus	Misc.	2025/3/5	2025/3/5	medium
182583	Ubuntu 16.04 ESM / 18.04 ESM / 20.04 LTS：jQuery UI 漏洞 (USN-6419-1)	Nessus	Ubuntu Local Security Checks	2023/10/5	2024/8/27	medium
156443	JQuery UI < 1.13.0 多个 XSS	Nessus	CGI abuses	2021/12/31	2023/11/21	medium
178710	Oracle Business Intelligence Enterprise Edition (OAS)（2023 年 7 月 CPU）	Nessus	Misc.	2023/7/21	2024/7/19	critical
180524	Debian DLA-3551-1：otrs2 - LTS 安全更新	Nessus	Debian Local Security Checks	2023/9/6	2025/1/24	critical
161616	Tenable Nessus 10.x < 10.2.0 第三方漏洞 (TNS-2022-11)	Nessus	Misc.	2022/5/27	2023/10/26	critical
194928	Splunk Enterprise 8.2.0 < 8.2.12、9.0.0 < 9.0.6、9.1.0 < 9.1.1 (SVD-2023-0808)	Nessus	CGI abuses	2024/5/2	2024/7/29	critical

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium

critical

medium

medium

medium

critical

medium

medium

medium

critical

critical

critical

critical