远程 Debian 10 主机上安装的程序包受到 dla-3499 公告中提及的多个漏洞影响。

  - mod_auth_openidc 是 Apache 2.x HTTP 服务器的认证/授权模块，充当 OpenID Connect 依赖方，针对 OpenID Connect 提供程序认证用户。据报告，通过在 `target_link_uri` 参数中提供构建的 URL，mod_auth_openidc 2.4.9.4 之前版本的第三方 init SSO 功能很容易遭到公开重定向攻击。此问题因 2.4.9.4 版本中的补丁所致，因此必须将 `OIDCRedirectURLsAllowed` 设置应用到 `target_link_uri` 参数。除升级到修补后的版本外，目前没有其他变通方案。
    (CVE-2021-39191)

  - mod_auth_openidc 是经 OpenID 认证的 Apache 2.x HTTP 服务器的认证和授权模块。2.4.12.2 之前版本容易受到开放重定向攻击。为重定向 URI 提供注销参数时，oidc_validate_redirect_url() 中的现有代码未正确检查以 /\t 开头的 URL，从而导致开放重定向漏洞。已在版本 2.4.12.2 中修补此问题。无法升级的用户可将 mod_auth_openidc 配置为仅当目标与 OIDCRedirectURLsAllowed 的给定正则表达式匹配时才允许重定向，以此缓解该问题。(CVE-2022-23527)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2023: 6365 公告中提及的多个漏洞的影响。

  - mod_auth_openidc 是经 OpenID 认证的 Apache 2.x HTTP 服务器的认证和授权模块。2.4.12.2 之前版本容易受到开放重定向攻击。为重定向 URI 提供注销参数时，oidc_validate_redirect_url() 中的现有代码未正确检查以 /\t 开头的 URL，从而导致开放重定向漏洞。已在版本 2.4.12.2 中修补此问题。无法升级的用户可将 mod_auth_openidc 配置为仅当目标与 OIDCRedirectURLsAllowed 的给定正则表达式匹配时才允许重定向，以此缓解该问题。(CVE-2022-23527)

  - mod_auth_openidc 是 Apache 2.x HTTP 服务器的认证和授权模块，实现 OpenID Connect 依赖方功能。在版本 2.0.0 至 2.4.13.1 中，设置“OIDCStripCookies”并提供特制的 Cookie 时，将发生空指针取消引用，从而导致分段错误。该漏洞可用于拒绝服务攻击，因此存在可用性风险。 2.4.13.2 版包含针对此问题的补丁。变通方案是避免使用“OIDCStripCookies”。(CVE-2023-28625)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2023：6940 公告提及的多个漏洞的影响。

  - mod_auth_openidc 是经 OpenID 认证的 Apache 2.x HTTP 服务器的认证和授权模块。2.4.12.2 之前版本容易受到开放重定向攻击。为重定向 URI 提供注销参数时，oidc_validate_redirect_url() 中的现有代码未正确检查以 /\t 开头的 URL，从而导致开放重定向漏洞。已在版本 2.4.12.2 中修补此问题。无法升级的用户可将 mod_auth_openidc 配置为仅当目标与 OIDCRedirectURLsAllowed 的给定正则表达式匹配时才允许重定向，以此缓解该问题。(CVE-2022-23527)

  - mod_auth_openidc 是 Apache 2.x HTTP 服务器的认证和授权模块，实现 OpenID Connect 依赖方功能。在版本 2.0.0 至 2.4.13.1 中，设置“OIDCStripCookies”并提供特制的 Cookie 时，将发生空指针取消引用，从而导致分段错误。该漏洞可用于拒绝服务攻击，因此存在可用性风险。 2.4.13.2 版包含针对此问题的补丁。变通方案是避免使用“OIDCStripCookies”。(CVE-2023-28625)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - mod_auth_openidc 是经 OpenID 认证的 Apache 2.x HTTP 服务器的认证和授权模块。2.4.12.2 之前版本容易受到开放重定向攻击。为重定向 URI 提供注销参数时，oidc_validate_redirect_url() 中的现有代码未正确检查以 /\t 开头的 URL，从而导致开放重定向漏洞。已在版本 2.4.12.2 中修补此问题。无法升级的用户可将 mod_auth_openidc 配置为仅当目标与 OIDCRedirectURLsAllowed 的给定正则表达式匹配时才允许重定向，以此缓解该问题。(CVE-2022-23527)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程 CentOS Linux 9 主机上安装的一个程序包受到 mod_auth_openidc-2.4.9.4-2.el9 版本变更日志中提及的多个漏洞影响。

  - 通过在 target_link_uri 参数中提供特制 URL 来公开重定向 (CVE-2021-39191)

  - mod_auth_openidc 是经 OpenID 认证的 Apache 2.x HTTP 服务器的认证和授权模块。2.4.12.2 之前版本容易受到开放重定向攻击。为重定向 URI 提供注销参数时，oidc_validate_redirect_url() 中的现有代码未正确检查以 /\t 开头的 URL，从而导致开放重定向漏洞。已在版本 2.4.12.2 中修补此问题。无法升级的用户可将 mod_auth_openidc 配置为仅当目标与 OIDCRedirectURLsAllowed 的给定正则表达式匹配时才允许重定向，以此缓解该问题。(CVE-2022-23527)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Oracle Linux 9 主机上安装的程序包受到 ELSA-2023-6365 公告中提及的多个漏洞的影响。

  - mod_auth_openidc 是 Apache 2.x HTTP 服务器的认证和授权模块，实现 OpenID Connect 依赖方功能。在版本 2.0.0 至 2.4.13.1 中，设置“OIDCStripCookies”并提供特制的 Cookie 时，将发生空指针取消引用，从而导致分段错误。该漏洞可用于拒绝服务攻击，因此存在可用性风险。 2.4.13.2 版包含针对此问题的补丁。变通方案是避免使用“OIDCStripCookies”。(CVE-2023-28625)

  - mod_auth_openidc 是经 OpenID 认证的 Apache 2.x HTTP 服务器的认证和授权模块。2.4.12.2 之前版本容易受到开放重定向攻击。为重定向 URI 提供注销参数时，oidc_validate_redirect_url() 中的现有代码未正确检查以 /\t 开头的 URL，从而导致开放重定向漏洞。已在版本 2.4.12.2 中修补此问题。无法升级的用户可将 mod_auth_openidc 配置为仅当目标与 OIDCRedirectURLsAllowed 的给定正则表达式匹配时才允许重定向，以此缓解该问题。(CVE-2022-23527)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Oracle Linux 8 主机上安装的程序包受到 ELSA-2023-6940 公告中提及的多个漏洞的影响。

  - mod_auth_openidc 是经 OpenID 认证的 Apache 2.x HTTP 服务器的认证和授权模块。2.4.12.2 之前版本容易受到开放重定向攻击。为重定向 URI 提供注销参数时，oidc_validate_redirect_url() 中的现有代码未正确检查以 /\t 开头的 URL，从而导致开放重定向漏洞。已在版本 2.4.12.2 中修补此问题。无法升级的用户可将 mod_auth_openidc 配置为仅当目标与 OIDCRedirectURLsAllowed 的给定正则表达式匹配时才允许重定向，以此缓解该问题。(CVE-2022-23527)

  - mod_auth_openidc 是 Apache 2.x HTTP 服务器的认证和授权模块，实现 OpenID Connect 依赖方功能。在版本 2.0.0 至 2.4.13.1 中，设置“OIDCStripCookies”并提供特制的 Cookie 时，将发生空指针取消引用，从而导致分段错误。该漏洞可用于拒绝服务攻击，因此存在可用性风险。 2.4.13.2 版包含针对此问题的补丁。变通方案是避免使用“OIDCStripCookies”。(CVE-2023-28625)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
178452	Debian DLA-3499-1：libapache2-mod-auth-openidc - LTS 安全更新	Nessus	Debian Local Security Checks	2023/7/19	2025/1/22	medium
185112	RHEL 9：mod_auth_openidc (RHSA-2023: 6365)	Nessus	Red Hat Local Security Checks	2023/11/7	2024/11/7	medium
185656	RHEL 8：mod_auth_openidc: 2.3 (RHSA-2023: 6940)	Nessus	Red Hat Local Security Checks	2023/11/14	2024/11/7	medium
252436	Linux Distros 未修补的漏洞：CVE-2022-23527	Nessus	Misc.	2025/8/20	2025/8/20	medium
191413	CentOS 9 : mod_auth_openidc-2.4.9.4-2.el9	Nessus	CentOS Local Security Checks	2024/2/29	2024/4/26	medium
185822	Oracle Linux 9：mod_auth_openidc (ELSA-2023-6365)	Nessus	Oracle Linux Local Security Checks	2023/11/16	2025/9/9	medium
186092	Oracle Linux 8：mod_auth_openidc: 2.3 (ELSA-2023-6940)	Nessus	Oracle Linux Local Security Checks	2023/11/21	2025/9/9	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium