远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2023: 4505 公告中提及的多个漏洞的影响。

  - jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版及 2.13.1 之前的 2.13.x 版允许攻击者在涉及 JsonNode JDK 序列化的不常见情况下造成拒绝服务（每次读取使用 2 GB 临时堆）。(CVE-2021-46877)

  - 从其中一个元素中包含自引用的 Collection 构造 JSONArray 时，会导致在 Jettison 中触发无限递归。这会导致产生 StackOverflowError 异常。(CVE-2023-1436)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2023: 4506 公告中提及的多个漏洞的影响。

  - jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版及 2.13.1 之前的 2.13.x 版允许攻击者在涉及 JsonNode JDK 序列化的不常见情况下造成拒绝服务（每次读取使用 2 GB 临时堆）。(CVE-2021-46877)

  - 从其中一个元素中包含自引用的 Collection 构造 JSONArray 时，会导致在 Jettison 中触发无限递归。这会导致产生 StackOverflowError 异常。(CVE-2023-1436)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2023:2097 公告中提及的多个漏洞影响。

  - jackson-databind：使用 JDK 序列化来序列化 JsonNode 时可能造成 DoS (CVE-2021-46877)

  - SnakeYaml：构造函数反序列化远程代码执行 (CVE-2022-1471)

  - rubygem-actionpack：Action Pack 中潜在的跨站脚本漏洞 (CVE-2022-22577)

  - rubygem-loofah：导致拒绝服务的低效正则表达式 (CVE-2022-23514)

  - rubygem-loofah：导致跨站脚本的数据 URI 中和不当 (CVE-2022-23515)

  - rubygem-loofah：导致拒绝服务的不受控制的递归 (CVE-2022-23516)

  - rubygem-rails-html-sanitizer：导致拒绝服务的低效正则表达式 (CVE-2022-23517)

  - rubygem-rails-html-sanitizer：导致跨站脚本的数据 URI 中和不当 (CVE-2022-23518)

  - rubygem-rails-html-sanitizer：部分配置的跨站脚本漏洞（CVE-2022-23519、 CVE-2022-23520）

  - snakeyaml：由于缺少集合的嵌套深度限制而导致的拒绝服务漏洞 (CVE-2022-25857)

  - tfm-rubygem-actionview：Action View 标签助手中潜在的跨站脚本漏洞 (CVE-2022-27777)

  - rubygem-tzinfo：任意代码执行 (CVE-2022-31163)

  - activerecord：Active Record 中的序列化列可能存在 RCE 升级漏洞 (CVE-2022-32224)

  - apache-commons-configuration：Apache Commons Configuration 存在不安全的内插默认值 (CVE-2022-33980)

  - snakeyaml：org.yaml.snakeyaml.composer.Composer.composeSequenceNode 中未捕获的异常 (CVE-2022-38749)

  - snakeyaml：org.yaml.snakeyaml.constructor.BaseConstructor.constructObject 中未捕获的异常 (CVE-2022-38750)

  - snakeyaml：java.base/java.util.regex.Pattern$Ques.match 中未捕获的异常 (CVE-2022-38751)

  - snakeyaml：java.base/java.util.ArrayList.hashCode 中有未捕获的异常 (CVE-2022-38752)

  - python-django：国际化 URL 中潜在的拒绝服务漏洞 (CVE-2022-41323)

  - postgresql-jdbc：由于不安全的临时文件权限导致预处理语句数据发生信息泄漏 (CVE-2022-41946)

  - jackson-databind：深层封装数组嵌套 wrt UNWRAP_SINGLE_VALUE_ARRAYS (CVE-2022-42003)

  - jackson-databind：深度嵌套数组的使用 (CVE-2022-42004)

  - apache-commons-text：变量插值 RCE (CVE-2022-42889)

  - python-django：通过 Accept-Language 标头可能造成拒绝服务 (CVE-2023-23969)

  - python-django：文件上传中潜在的拒绝服务漏洞 (CVE-2023-24580)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2023: 4919 公告中提及的多个漏洞影响。

  - jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版及 2.13.1 之前的 2.13.x 版允许攻击者在涉及 JsonNode JDK 序列化的不常见情况下造成拒绝服务（每次读取使用 2 GB 临时堆）。(CVE-2021-46877)

  - 从其中一个元素中包含自引用的 Collection 构造 JSONArray 时，会导致在 Jettison 中触发无限递归。这会导致产生 StackOverflowError 异常。(CVE-2023-1436)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2023: 4918 公告中提及的多个漏洞影响。

  - jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版及 2.13.1 之前的 2.13.x 版允许攻击者在涉及 JsonNode JDK 序列化的不常见情况下造成拒绝服务（每次读取使用 2 GB 临时堆）。(CVE-2021-46877)

  - 从其中一个元素中包含自引用的 Collection 构造 JSONArray 时，会导致在 Jettison 中触发无限递归。这会导致产生 StackOverflowError 异常。(CVE-2023-1436)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的 Atlassian Jira Service Management Data Center and Server (Jira Service Desk) 版本受到 JSDSERVER-14750 公告中所述漏洞的影响。

  - jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版及 2.13.1 之前的 2.13.x 版允许攻击者在涉及 JsonNode JDK 序列化的不常见情况下造成拒绝服务（每次读取使用 2 GB 临时堆）。(CVE-2021-46877)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

因此，该应用程序受到 ALAS2023-2023-428 公告中提及的漏洞的影响。

  - jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版及 2.13.1 之前的 2.13.x 版允许攻击者在涉及 JsonNode JDK 序列化的不常见情况下造成拒绝服务（每次读取使用 2 GB 临时堆）。(CVE-2021-46877)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2023: 4507 公告中提及的多个漏洞的影响。

  - jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版及 2.13.1 之前的 2.13.x 版允许攻击者在涉及 JsonNode JDK 序列化的不常见情况下造成拒绝服务（每次读取使用 2 GB 临时堆）。(CVE-2021-46877)

  - 从其中一个元素中包含自引用的 Collection 构造 JSONArray 时，会导致在 Jettison 中触发无限递归。这会导致产生 StackOverflowError 异常。(CVE-2023-1436)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版及 2.13.1 之前的 2.13.x 版允许攻击者在涉及 JsonNode JDK 序列化的不常见情况下造成拒绝服务（每次读取使用 2 GB 临时堆）。(CVE-2021-46877)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2023:3610 公告中提及的多个漏洞影响。

  - jackson-databind：使用 JDK 序列化来序列化 JsonNode 时可能造成 DoS (CVE-2021-46877)

  - maven-shared-utils：通过命令行类进行的命令注入 (CVE-2022-29599)

  - Jenkins 插件：Blue Ocean 插件中存在 CSRF 漏洞 (CVE-2022-30953)

  - Jenkins 插件：Blue Ocean 插件中缺少权限检查 (CVE-2022-30954)

  - jettison：由堆栈溢出导致的解析器崩溃 (CVE-2022-40149)

  - jettison：通过用户提供的 XML 或 JSON 数据耗尽内存 (CVE-2022-40150)

  - jettison：如果 map 中的值是 map 自身，则新的 new JSONObject(map) 会造成 StackOverflowError，进而导致 dos (CVE-2022-45693)

  - json-smart：json-smart 中不受控制的资源消耗漏洞（资源耗尽）(CVE-2023-1370)

  - springframework：利用无前缀的双重通配符模式执行安全旁路 (CVE-2023-20860)

  - springframework：Spring Expression DoS 漏洞 (CVE-2023-20861)

  - jenkins-2-plugins/script-security：脚本安全插件中存在沙盒绕过漏洞 (CVE-2023-24422)

  - jenkins-2-plugin: workflow-job：Pipeline: Job 插件中存在存储型 XSS 漏洞 (CVE-2023-32977)

  - jenkins-2-plugin: pipeline-utility-steps：Pipeline Utility Steps 插件中的任意文件写入漏洞 (CVE-2023-32981)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2023:3299 公告中提及的多个漏洞影响。

  - google-oauth-client：根据 Native Apps 的 RFC for OAuth 2.0，缺少 PKCE 支持会导致不当授权 (CVE-2020-7692)

  - kubernetes-client：unmarshalYaml 方法中存在不安全的反序列化 (CVE-2021-4178)

  - jackson-databind：使用 JDK 序列化来序列化 JsonNode 时可能造成 DoS (CVE-2021-46877)

  - springframework：RegexRequestMatcher 中存在授权绕过 (CVE-2022-22978)

  - com.google.code.gson-gson：com.google.code.gson-gson 对不可信的数据执行反序列化 (CVE-2022-25647)

  - xstream：用于序列化 XML 数据的 Woodstox 容易受到拒绝服务攻击 (CVE-2022-40151)

  - woodstox-core：用于序列化 XML 数据的 Woodstox 容易受到拒绝服务攻击 (CVE-2022-40152)

  - apache-commons-text：变量插值 RCE (CVE-2022-42889)

  - jenkins-2-plugins/script-security：脚本安全插件中存在沙盒绕过漏洞 (CVE-2023-24422)

  - Apache Commons FileUpload：FileUpload 存在多余部分导致 DoS (CVE-2023-24998)

  - jenkins-2-plugins/JUnit：JUnit 插件中存在存储型 XSS 漏洞 (CVE-2023-25761)

  - jenkins-2-plugins/pipeline-build-step：Pipeline 中存在存储型 XSS 漏洞：Build Step 插件 (CVE-2023-25762)

  - Jenkins：拒绝服务攻击（CVE-2023-27900、 CVE-2023-27901）

  - Jenkins：可通过目录浏览器访问的工作区临时目录 (CVE-2023-27902)

  - Jenkins：由与代理相关的错误堆栈跟踪导致的信息泄露 (CVE-2023-27904)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2023: 4920 公告中提及的多个漏洞影响。

  - jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版及 2.13.1 之前的 2.13.x 版允许攻击者在涉及 JsonNode JDK 序列化的不常见情况下造成拒绝服务（每次读取使用 2 GB 临时堆）。(CVE-2021-46877)

  - 从其中一个元素中包含自引用的 Collection 构造 JSONArray 时，会导致在 Jettison 中触发无限递归。这会导致产生 StackOverflowError 异常。(CVE-2023-1436)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 IBM Engineering Requirements Management DOORS（以前称为 IBM Rational DOORS）版本是 9.7.2.x 之前的 9.7.2.8。因此，它受到 7124058 公告中提及的多个漏洞影响。

  - 1.9.1 之前的 Apache Shiro，在某些 servlet 容器上可能会错误配置 RegexRequestMatcher 以绕过它。在正则表达式中使用带有“.”的 RegExPatternMatcher 的应用程序可能容易受到授权绕过的影响。(CVE-2022-32532)

  - Java OpenWire 协议编组器容易受到远程代码执行的攻击。利用该漏洞，可以通过网络访问 Java 型 OpenWire 代理或客户端的远程攻击者可以通过操纵 OpenWire 协议中的序列化类类型来运行任意 shell 命令，从而导致客户端或代理（分别）实例化类路径上的任何类。建议用户升级到修复了此问题的代理和客户端（版本 5.15.16、5.16.7、5.17.6、5.18.3）。
    (CVE-2023-46604)

  - 2.13.9 之前的 Scala 2.13.x 在其 JAR 文件中存在 Java 反序列化链。它本身无法被利用。只有与应用程序内的 Java 对象反序列化结合使用时才会存在风险。在此类情况下，它会允许攻击者通过小工具链擦除任意文件的内容、建立网络连接或可能运行任意代码（特别是 Function0 函数）。(CVE-2022-36944)

  - IBM Engineering Requirements Management DOORS 9.7.2.7 是一个跨站请求漏洞，该漏洞允许攻击者执行从网站信任用户传输的恶意和未经授权的操作。IBM X-Force ID：251216。(CVE-2023-28949)

  4.14 之前的 CKEditor 4.0 的 HTML 数据处理器中存在跨站脚本 (XSS) 漏洞，该漏洞会允许远程攻击者通过构建的受保护注释 （带有 cke_protected 语法）注入任意 web 脚本。(CVE-2020-9281)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
179409	RHEL 7：Red Hat JBoss Enterprise Application Platform (RHSA-2023: 4505)	Nessus	Red Hat Local Security Checks	2023/8/7	2024/11/7	high
179411	RHEL 8：Red Hat JBoss Enterprise Application Platform (RHSA-2023: 4506)	Nessus	Red Hat Local Security Checks	2023/8/7	2024/11/8	high
194316	RHEL 8：Satellite 6.13 Release（重要）(RHSA-2023:2097)	Nessus	Red Hat Local Security Checks	2024/4/28	2024/11/7	critical
180417	RHEL 8：RHEL 8 上的 Red Hat Single Sign-On 7.6.5 安全更新（重要） (RHSA-2023: 4919)	Nessus	Red Hat Local Security Checks	2023/8/31	2024/11/7	high
180418	RHEL 7：RHEL 7 上的 Red Hat Single Sign-On 7.6.5 安全更新（重要） (RHSA-2023: 4918)	Nessus	Red Hat Local Security Checks	2023/8/31	2024/11/7	high
186231	Atlassian Jira Service Management Data Center and Server 4.20.x < 4.20.27 (JSDSERVER-14750)	Nessus	Misc.	2023/11/24	2024/10/7	high
184422	Amazon Linux 2023：jackson-databind ALAS2023-2023-428	Nessus	Amazon Linux Local Security Checks	2023/11/4	2024/12/11	high
179410	RHEL 9：Red Hat JBoss Enterprise Application Platform (RHSA-2023: 4507)	Nessus	Red Hat Local Security Checks	2023/8/7	2024/11/7	high
230186	Linux Distros 未修补的漏洞: CVE-2021-46877	Nessus	Misc.	2025/3/5	2025/3/5	high
194324	RHEL 8：jenkins and jenkins-2-plugins (RHSA-2023:3610)	Nessus	Red Hat Local Security Checks	2024/4/28	2024/11/7	critical
194250	RHEL 8：jenkins and jenkins-2-plugins (RHSA-2023:3299)	Nessus	Red Hat Local Security Checks	2024/4/28	2024/11/7	critical
180419	RHEL 9：RHEL 9 上的 Red Hat Single Sign-On 7.6.5 安全更新（重要） (RHSA-2023: 4920)	Nessus	Red Hat Local Security Checks	2023/8/31	2024/11/7	high
191754	IBM Engineering Requirements Management DOORS 9.7.2.x < 9.7.2.8 多种漏洞 (7124058)	Nessus	Windows	2024/3/8	2024/3/12	critical

检测

插件搜索

high

high

critical

high

high

high

high

high

high

critical

critical

high

critical