根据其自我报告的版本，远程 web 服务器上运行的 Drupal 实例为低于 9.2.15 的 9.2.x 版本，或低于 9.3.8 的 9.3.x 版本。因此，该实例因使用第三方组件 CKEditor 进行 WYSIWYG 编辑而受到多个漏洞的影响：

 - 在 CKEditor 4 HTML 处理核心模块中发现一个漏洞。该漏洞允许注入畸形 HTML 以绕过内容审查，从而导致执行 JavaScript 代码。(CVE-2022-24728)

 - 已在 CKEditor 4 对话框插件中发现漏洞。该漏洞允许通过滥用对话框输入验证器正则表达式造成性能显著下降，从而导致浏览器选项卡冻结。(CVE-2022-24729)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Database Server 12.1.0.2、19c、21c、所有受支持版本以及 None 版本受到 2022 年 7 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Database Server 的 Oracle Database Enterprise Edition Sharding 组件中存在漏洞。
    有关受影响的支持版本，请参阅注释。攻击此漏洞的难度较低，具有本地登录权限的低权限攻击者可以借此登录 Oracle Database - Enterprise Edition 执行所在的基础架构，从而入侵 Oracle Database - Enterprise Edition Sharding。虽然该漏洞存在于 Oracle Database - Enterprise Edition Sharding 中，但攻击可能对其他产品造成重大影响（范围更改）。若攻击成功，攻击者可接管 Oracle Database - Enterprise Edition Sharding。(CVE-2022-21510)

  - Oracle Database Server 的 Oracle Database - Enterprise Edition Recovery 组件中存在漏洞。有关受影响的支持版本，请参阅注释。攻击此漏洞的难度较低，具有 EXECUTE ON DBMS_IR.EXECUTESQLSCRIPT 权限和网络访问权限的高权限攻击者可借此通过 Oracle Net 入侵 Oracle Database - Enterprise Edition Recovery 组件。若攻击成功，攻击者可接管 Oracle Database - Enterprise Edition Recovery。注意：受支持的版本均未受到影响。 (CVE-2022-21511)

  - Oracle Database Server 的 Java VM 组件中存在漏洞。受影响的支持版本是 12.1.0.2、19c 和 21c。攻击此漏洞的难度较低，具有网络访问权限和 Create Procedure 特权的低权限攻击者可利用此漏洞通过 Oracle Net 入侵 Java VM。若攻击成功，攻击者可在未经授权的情况下创建、删除或修改关键数据或所有 Java VM 可访问的数据。(CVE-2022-21565)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Business Intelligence Enterprise Edition (OAS) 版本受到 2022 年 10 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Fusion Middleware 的 Oracle WebCenter Sites 产品中存在漏洞（组件：WebCenter Sites (CKEditor)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者（可通过 HTTP 进行网络访问）破坏 Oracle WebCenter Sites。成功攻击该漏洞可导致在未经授权的情况下造成 Oracle WebCenter Sites 挂起或频繁反复崩溃（完全 DOS）（CVE-2022-24729）。

  - Oracle Hyperion 的 Oracle Hyperion Infrastructure Technology 产品中的漏洞（组件：
    安装和配置 (Apache Commons Configuration)）。支持的版本中受影响的是 11.2.9。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Hyperion Infrastructure Technology。成功利用此漏洞进行攻击可导致接管 Oracle Hyperion Infrastructure Technology。(CVE-2022-33980)

  - jackson-databind 2.13.0 之前版本允许通过大量嵌套对象引发 Java StackOverflow 异常和拒绝服务。(CVE-2020-36518)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - CKEditor4 是一种开源 what-you-see-is-what-you-get HTML 编辑器。CKEditor4 4.18.0 之前版本的 `dialog` 插件中存在一个漏洞。该漏洞允许通过滥用对话框输入验证器正则表达式造成性能显著下降，从而导致浏览器选项卡冻结。版本 4.18.0 中有一个补丁可用。目前尚无已知的变通方案。(CVE-2022-24729)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

根据其自我报告的版本，远程 web 服务器上运行的 Drupal 实例为低于 9.2.15 的 9.2.x 版本，或低于 9.3.8 的 9.3.x 版本。因此，该主机受到多个漏洞的影响。

  - CKEditor4 是一种开源 what-you-see-is-what-you-get HTML 编辑器。CKEditor4 4.18.0 之前版本的 `dialog` 插件中存在一个漏洞。该漏洞允许通过滥用对话框输入验证器正则表达式造成性能显著下降，从而导致浏览器选项卡冻结。版本 4.18.0 中有一个补丁可用。目前尚无已知的变通方案。(CVE-2022-24729)

  - CKEditor4 是一种开源 what-you-see-is-what-you-get HTML 编辑器。已在核心 HTML 处理模块中发现一个漏洞，该漏洞可能影响 CKEditor 4 4.18.0 之前版本所使用的所有插件。
    该漏洞允许注入畸形 HTML 以绕过内容审查，从而导致执行 JavaScript 代码。4.18.0 版本已修复此问题。目前尚无已知的变通方案。(CVE-2022-24728)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Business Intelligence Enterprise Edition (OAS) 版本受到 2022 年 10 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Fusion Middleware 的 Oracle WebCenter Sites 产品中存在漏洞（组件：WebCenter Sites (CKEditor)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者（可通过 HTTP 进行网络访问）破坏 Oracle WebCenter Sites。成功攻击该漏洞可导致在未经授权的情况下造成 Oracle WebCenter Sites 挂起或频繁反复崩溃（完全 DOS）（CVE-2022-24729）。

  - Oracle Hyperion 的 Oracle Hyperion Infrastructure Technology 产品中的漏洞（组件：
    安装和配置 (Apache Commons Configuration)）。支持的版本中受影响的是 11.2.9。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Hyperion Infrastructure Technology。成功利用此漏洞进行攻击可导致接管 Oracle Hyperion Infrastructure Technology。(CVE-2022-33980)   
  - Oracle Fusion Middleware 的 Oracle Business Intelligence Enterprise Edition 产品中的漏洞（组件：Analytics Web ADF 集成 (Apache Commons Compress)）。支持的版本中受影响的是 5.9.0.0。利用漏洞此漏洞的难度较低，通过 HTTP 访问网络的未经验证的攻击者可以借此入侵 Oracle Business Intelligence Enterprise Edition。若攻击成功，攻击者可在未经授权的情况下造成 Oracle Business Intelligence Enterprise Edition 挂起或频繁出现崩溃（完整 DOS）。(CVE-2021-36090)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 IBM Engineering Requirements Management DOORS（以前称为 IBM Rational DOORS）版本是 9.7.2.x 之前的 9.7.2.8。因此，它受到 7124058 公告中提及的多个漏洞影响。

  - 1.9.1 之前的 Apache Shiro，在某些 servlet 容器上可能会错误配置 RegexRequestMatcher 以绕过它。在正则表达式中使用带有“.”的 RegExPatternMatcher 的应用程序可能容易受到授权绕过的影响。(CVE-2022-32532)

  - Java OpenWire 协议编组器容易受到远程代码执行的攻击。利用该漏洞，可以通过网络访问 Java 型 OpenWire 代理或客户端的远程攻击者可以通过操纵 OpenWire 协议中的序列化类类型来运行任意 shell 命令，从而导致客户端或代理（分别）实例化类路径上的任何类。建议用户升级到修复了此问题的代理和客户端（版本 5.15.16、5.16.7、5.17.6、5.18.3）。
    (CVE-2023-46604)

  - 2.13.9 之前的 Scala 2.13.x 在其 JAR 文件中存在 Java 反序列化链。它本身无法被利用。只有与应用程序内的 Java 对象反序列化结合使用时才会存在风险。在此类情况下，它会允许攻击者通过小工具链擦除任意文件的内容、建立网络连接或可能运行任意代码（特别是 Function0 函数）。(CVE-2022-36944)

  - IBM Engineering Requirements Management DOORS 9.7.2.7 是一个跨站请求漏洞，该漏洞允许攻击者执行从网站信任用户传输的恶意和未经授权的操作。IBM X-Force ID：251216。(CVE-2023-28949)

  4.14 之前的 CKEditor 4.0 的 HTML 数据处理器中存在跨站脚本 (XSS) 漏洞，该漏洞会允许远程攻击者通过构建的受保护注释 （带有 cke_protected 语法）注入任意 web 脚本。(CVE-2020-9281)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WebCenter Sites 版本 12.2.1.3.0 和 12.2.1.4.0 受到 2022 年 10 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Fusion Middleware 的 Oracle WebCenter Sites 产品中存在漏洞（组件：集中式第三方 Jars (dojo)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者（可通过 HTTP 进行网络访问）破坏 Oracle WebCenter Sites。成功攻击此漏洞可导致接管 Oracle WebCenter Sites.。CVE-2021-23450)

  - Oracle Fusion Middleware 的 Oracle WebCenter Sites 产品中存在漏洞（组件：WebCenter Sites (XStream)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者（可通过 HTTP 进行网络访问）破坏 Oracle WebCenter Sites。成功攻击该漏洞可导致在未经授权的情况下造成 Oracle WebCenter Sites 挂起或频繁反复崩溃（完全 DOS）（CVE-2021-43859）。

  - Oracle Fusion Middleware 的 Oracle WebCenter Sites 产品中存在漏洞（组件：WebCenter Sites (CKEditor)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者（可通过 HTTP 进行网络访问）破坏 Oracle WebCenter Sites。成功攻击该漏洞可导致在未经授权的情况下造成 Oracle WebCenter Sites 挂起或频繁反复崩溃（完全 DOS）（CVE-2022-24729）。

  - CVE-2022-32532	Oracle Fusion Middleware 的 Oracle WebCenter Sites 产品中存在漏洞（组件：WebCenter Sites (Apache Shiro)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者（可通过 HTTP 进行网络访问）破坏 Oracle WebCenter Sites。成功攻击此漏洞可导致接管 Oracle WebCenter Sites.。CVE-2022-32532)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle WebCenter Portal 版本缺少 2022 年 10 月关键补丁更新 (CPU) 中的安全补丁。因此，该应用程序受到多个漏洞的影响：

  - Oracle Communications Applications 的 Oracle Communications Convergence 产品中存在漏洞（组件：框架 (dojo)）。支持的版本中受影响的是 3.0.3.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle Communications Convergence。成功利用此漏洞进行攻击可导致接管 Oracle Communications Convergence。(CVE-2021-23450)

  - Oracle Fusion Middleware 的 Oracle WebCenter Portal 产品中存在漏洞（组件：安全框架 (jackson-databind)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle WebCenter Portal。成功利用此漏洞进行攻击可导致在未经授权的情况下造成 Oracle WebCenter Portal 挂起或频繁出现崩溃（完整 DOS）(CVE-2020-36518)。

  - Oracle Fusion Middleware 的 Oracle WebCenter Portal 产品中存在漏洞（组件：安全框架 (Apache Santuario XML Security For Java)）。支持的版本中受影响的是 12.2.1.3.0 和 12.2.1.4.0。可轻松利用的漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而破坏 Oracle WebCenter Portal。成功攻击此漏洞可导致在未经授权的情况下访问关键数据，或完整访问所有可供访问的 Oracle WebCenter Portal 数据。(CVE-2021-40690)

请注意，Nessus 并不试图利用此问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 IBM Cognos Analytics 版本为低于 11.1.7 版 Fix Pack 7 的 11.1.x 版或低于 11.2.4 FP1 的 11.2.x 版。因此，该应用程序受到多个漏洞的影响，其中包括：

  - GNOME libxml2 可能允许远程攻击者在系统上执行任意代码，而此漏洞是 xinclude.c 的 xmlXIncludeDoProcess() 函数中存在释放后使用缺陷所致。通过发送特制的文件，攻击者可利用此漏洞在系统上执行任意代码。(CVE-2021-3518)

  - Node.js 可允许本地攻击者在系统上获得提升权限，这是由 providers.dll 的 DLL 搜索顺序劫持造成的。通过放置特制文件，攻击者可利用此漏洞提升权限。(CVE-2022-32223)

  - Node.js 标记的模块容易受到拒绝服务的影响，这是由 inline.reflinkSearch 中的正则表达式拒绝服务 (ReDoS) 缺陷造成的。远程攻击者可以通过发送特制的 regex 输入，利用此漏洞造成拒绝服务情况。(CVE-2022-21681)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
113204	Drupal 9.2.x< 9.2.15 第三方库漏洞	Web App Scanning	Component Vulnerability	2022/3/18	2023/3/14	high
113206	Drupal 9.3.x< 9.3.8 第三方库漏洞	Web App Scanning	Component Vulnerability	2022/3/18	2023/3/14	high
163408	Oracle Database Server（2022 年 7 月 CPU）	Nessus	Databases	2022/7/22	2024/10/31	critical
166336	低于 5.9.0 的 Oracle Business Intelligence Publisher (OAS) 5.9.x（2022 年 10 月 CPU）	Nessus	Misc.	2022/10/20	2023/10/24	critical
224541	Linux Distros 未修补的漏洞: CVE-2022-24729	Nessus	Misc.	2025/3/5	2026/1/30	high
158982	Drupal 9.2.x < 9.2.15 / 9.3.x < 9.3.8 多个漏洞 (drupal-2022-03-16)	Nessus	CGI abuses	2022/3/16	2023/11/6	medium
166337	低于 5.9.0 的 Oracle Business Intelligence Publisher (OAS) 5.9.x（2022 年 10 月 CPU）	Nessus	Misc.	2022/10/20	2023/10/9	critical
191754	IBM Engineering Requirements Management DOORS 9.7.2.x < 9.7.2.8 多种漏洞 (7124058)	Nessus	Windows	2024/3/8	2026/3/27	critical
166377	Oracle WebCenter Sites（2022 年 10 月 CPU）	Nessus	Windows	2022/10/21	2023/10/9	critical
166335	Oracle WebCenter Portal 多个漏洞（2022 年 10 月 CPU）	Nessus	Misc.	2022/10/20	2023/10/24	critical
175429	IBM Cognos Analytics 多个漏洞 (6986505)	Nessus	CGI abuses	2023/5/12	2023/7/27	critical

检测

插件搜索

high

high

critical

critical

high

medium

critical

critical

critical

critical

critical