The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - The ip package through 2.0.1 for Node.js might allow SSRF because some IP addresses (such as 127.1,     01200034567, 012.1.2.3, 000:0:0000::01, and ::fFFf:127.0.0.1) are improperly categorized as globally     routable via isPublic. NOTE: this issue exists because of an incomplete fix for CVE-2023-42282.
    (CVE-2024-29415)

Note that Nessus relies on the presence of the package as reported by the vendor.

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Node.js 的 2.0.1 之前的 ip 程序包可能允许 SSRF原因是某些 IP 地址例如 127.1、01200034567、 012.1.2.3、000:0:0000::01 和 ::fFFf:127.0.0.1未正确分类。可通过 isPublic 进行全局路由。注意：存在此问题的原因是对 CVE-2023-42282 的修复不完整。
    (CVE-2024-29415)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Node.js 用の 2.0.1 までの ip パッケージは、一部の IP アドレス 127.1、01200034567、 012.1.2.3、000:0:0000::01、::fFFf:127.0.0.1 などを不適切に分類しているため、SSRF を引き起こす可能性があります。 isPublic を通じてグローバルルーティング可能としてください。注：この問題は、CVE-2023-42282に対する修正が不完全なために存在します。
    (CVE-2024-29415)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - Node.js 中透過 2.0.1 之前的 ip 套件可能允許 SSRF因為某些 IP 位址 (例如 127.1、01200034567、 012.1.2.3、000:0:0000::01 和 ::fFFf:127.0.0.1) 的分類錯誤透過 isPublic 全域可路由。注意：此問題之所以存在，是因為 CVE-2023-42282 的修正不完整。
    (CVE-2024-29415)

請注意，Nessus 依賴供應商報告的套件存在。

The version of IBM Cognos Analytics installed on the remote host is prior to 11.2.4 FP4 or 12.0.4. It is, therefore, affected by multiple vulnerabilities as referenced in the 7173592 advisory.

  - An arbitrary file upload vulnerability in formidable v3.1.4 allows attackers to execute arbitrary code via     a crafted filename. NOTE: some third parties dispute this issue because the product has common use cases     in which uploading arbitrary files is the desired behavior. Also, there are configuration options in all     versions that can change the default behavior of how files are handled. Strapi does not consider this to     be a valid vulnerability. (CVE-2022-29622)

  - Node.js IP package could allow a remote attacker to execute arbitrary code on the system, caused by a     server-side request forgery flaw in the ip.isPublic() function. By sending a specially crafted request     using a hexadecimal representation of a private IP address, an attacker could exploit this vulnerability     to execute arbitrary code on the system and obtain sensitive information. (CVE-2023-42282)   
  - Multiple vendors are vulnerable to a denial of service, caused by a flaw in handling multiplexed streams     in the HTTP/2 protocol. By sending numerous HTTP/2 requests and RST_STREAM frames over multiple streams, a     remote attacker could exploit this vulnerability to cause a denial of service due to server resource     consumption. (CVE-2023-44487)

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

リモートホストにインストールされている IBM Cognos Analytics のバージョンは、11.2.4 FP4、または 12.0.4 より前です。したがって、7173592 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Formidable v3.1.4 の任意のファイルアップロードの脆弱性により、攻撃者は細工したファイル名を使用して任意のコードを実行できます。注意: この製品には、任意のファイルをアップロードすることが望ましい動作であるという一般的な使用例があるため、一部のサードパーティはこの問題に異議を唱えています。また、すべてのバージョンには、ファイルの処理方法のデフォルトの動作を変更できる設定オプションがあります。Strapi はこれを有効な脆弱性とは考えていません。(CVE-2022-29622)

  - Node.js IP パッケージでは、ip.isPublic() 関数のサーバーサイドリクエスト偽造の脆弱性により、リモートの攻撃者がシステム上で任意のコードを実行できます。攻撃者は、プライベート IP アドレスの 16 進表現を使用して特別に細工されたリクエストを送信することにより、この脆弱性を悪用してシステム上で任意のコードを実行し、機密情報を取得する可能性があります。(CVE-2023-42282)   
  - HTTP/2 プロトコルの多重化ストリームの処理における欠陥により、複数のベンダーがサービス拒否攻撃に対して脆弱です。リモートの攻撃者がこの脆弱性を悪用して、多数の HTTP/2 リクエストと RST_STREAM フレームを複数のストリーム経由で送信することにより、サーバーリソースの消費によるサービス拒否を引き起こす可能性があります。(CVE-2023-44487)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

遠端主機上安裝的 IBM Cognos Analytics 版本低於 11.2.4 FP4 或 12.0.4。因此，該主機受到 7173592 公告中所提及的多個弱點影響。

  - formidable v3.1.4 中的任意檔案上傳弱點允許攻擊者透過偽造的檔案名稱來執行任意程式碼。請注意：有些第三方對於此問題存在爭議，因為在此產品的普通使用案例中，上傳任意檔案是需要的行為。另外，這些也是所有版本中能夠更改預設的檔案處理行為的設定選項。Strapi 認為這不是有效弱點。(CVE-2022-29622)

  - Node.js IP 套件允許遠端攻擊者在系統中執行任意程式碼，這是由 ip.isPublic() 函式中的伺服器端要求偽造缺陷造成。攻擊者可藉由傳送使用十六進位表示法的私有 IP 位址的特製要求，利用此弱點在系統中執行任意程式碼並取得敏感資訊。(CVE-2023-42282)   
  - 多個廠商的產品容易受到拒絕服務攻擊，原因是 HTTP/2 通訊協定在處理多路複用串流時會產生缺陷。遠端攻擊者可藉由在多個串流上傳送大量 HTTP/2 要求和 RST_STREAM 幀，利用此弱點來造成伺服器資源佔用，進而導致系統拒絕服務。(CVE-2023-44487)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

远程主机上安装的 IBM Cognos Analytics 版本低于 11.2.4 FP4 或 12.0.4。因此，它受到 7173592 公告中提及的多个漏洞影响。

  - formidable v3.1.4 中存在任意文件上传漏洞，允许攻击者通过特制的文件名执行任意代码。注意：部分第三方对此问题有争议，因为该产品存在相关常见用例，其中需要执行任意文件上传。此外，所有版本中均设有配置选项，可变更默认文件处理行为。Strapi 不认为这是一个有效漏洞。(CVE-2022-29622)

  - Node.js IP 程序包允许远程攻击者在系统上执行任意代码，这是由 ip.isPublic() 函数中的服务器端请求伪造缺陷造成的。攻击者可使用私有 IP 地址的十六进制表示发送特制请求，利用此漏洞在系统上执行任意代码并获取敏感信息。(CVE-2023-42282)   
  - 多个供应商可能会受到拒绝服务的影响，这是由 HTTP/2 协议中多路复用流处理中的缺陷引起的。通过在多个流上发送大量 HTTP/2 请求和 RST_STREAM 帧，远程攻击者可利用此漏洞造成服务器资源消耗，进而导致拒绝服务。(CVE-2023-44487)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
251640	Linux Distros Unpatched Vulnerability : CVE-2024-29415	Nessus	Misc.	2025/8/18	2025/8/31	high
251640	Linux Distros 未修补的漏洞：CVE-2024-29415	Nessus	Misc.	2025/8/18	2025/8/31	high
251640	Linux Distros のパッチ未適用の脆弱性: CVE-2024-29415	Nessus	Misc.	2025/8/18	2025/8/31	high
251640	Linux Distros 未修補的弱點：CVE-2024-29415	Nessus	Misc.	2025/8/18	2025/8/31	high
213274	IBM Cognos Analytics 11.2.x < 11.2.4 FP4 / 12.0.x < 12.0.4 Multiple Vulnerabilities (7173592)	Nessus	CGI abuses	2024/12/20	2025/4/3	critical
213274	IBM Cognos Analytics 11.2.x < 11.2.4 FP4 / 12.0.x < 12.0.4 の複数の脆弱性 (7173592)	Nessus	CGI abuses	2024/12/20	2025/4/3	critical
213274	IBM Cognos Analytics 11.2.x < 11.2.4 FP4 / 12.0.x < 12.0.4 多個弱點 (7173592)	Nessus	CGI abuses	2024/12/20	2025/4/3	critical
213274	IBM Cognos Analytics 11.2.x < 11.2.4 FP4 / 12.0.x < 12.0.4 多个漏洞 (7173592)	Nessus	CGI abuses	2024/12/20	2025/4/3	critical

检测

插件搜索

high

high

high

high

critical

critical

critical

critical