根据其自我报告的版本号，远程主机上运行的 Atlassian Jira 应用程序版本为低于低于 10.3.13 的 10.3.x 版或低于 11.2.0 的 11.x 版。因此会受到 XML 外部实体注入 (XXE) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 所有平台上 Apache Tika 中 Apache Tika (tika-parser-pdf-module) 1.13 到含 3.2.1 中的危急 XXE 可让攻击者通过 PDF 内构建的 XFA 文件执行 XML 外部实体注入。攻击者可能会能够读取敏感数据或对内部资源或第三方服务器触发恶意请求。请注意tika-parser-pdf-module 在多个 Tika 程序包中用作依存关系至少包括 tika-parsers-standard-modules、tika-parsers-standard-package、tika-app、tika-grpc 和 tika-server -standard。建议用户升级为已修复此问题的 3.2.2 版。(CVE-2025-54988)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程主机上安装的 Oracle Business Process Management Suite 版本受到 2026 年 1 月 CPU 公告中提及的一个漏洞影响：

  - Oracle Fusion Middleware 的 Oracle Business Process Management Suite 产品中的漏洞 (组件：Composer (Apache Commons Lang))。支持的版本中受影响的是 14.1.2.0.0。此漏洞较容易攻击，允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而入侵 Oracle Business Process Management Suite。成功攻击此漏洞可导致在未经授权的情况下造成 Oracle Business Process Management Suite 部分拒绝服务（部分 DOS）。(CVE-2025-48924)

  - Oracle Fusion Middleware 的 Oracle Business Process Management Suite 产品中的漏洞 (组件：Composer (Apache Commons FileUpload))。支持的版本中受影响的是 12.2.1.4.0 和 14.1.2.0.0。此漏洞较容易攻击，允许未经身份验证的攻击者通过 HTTPS 进行网络访问，从而入侵 Oracle Business Process Management Suite 。成功攻击此漏洞可导致在未经授权的情况下造成 Oracle Solaris 挂起或频繁反复崩溃（完全 DOS）。（CVE-2025-48976）

  - Oracle Fusion Middleware 的 Oracle Business Process Management Suite 产品中的漏洞 (组件：Oracle Business Rules (Apache Commons Compress))。支持的版本中受影响的是 14.1.2.0.0。此漏洞较容易攻击，允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而入侵 Oracle Business Process Management Suite。成功利用此漏洞进行攻击可导致接管 Oracle Business Process Management Suite。(CVE-2025-54988)

  - Oracle Fusion Middleware 的 Oracle Business Process Management Suite  产品中的漏洞 (组件：Runtime Engine (Apache Tika))。支持的版本中受影响的是 12.2.1.4.0 和 14.1.2.0.0。此漏洞较容易攻击，允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而入侵 Oracle Business Process Management Suite。虽然漏洞位于 Oracle Business Process Management Suite 中，但攻击可能对其他产品造成重大影响（范围更改）。成功利用此漏洞进行攻击可导致接管 Oracle Business Process Management Suite。(CVE-2025-66516)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的 Atlassian Confluence Server 版本受到 CONFSERVER-101878 公告中提及的漏洞影响。

  - 在所有平台的 Apache Tika tika-core 1.13 至 3.2.1 (包含) 版本中，Apache Tika (tika-parser-pdf-module) 中的严重 XXE 允许攻击者通过在 PDF 中嵌入精心构建的 XFA 文件来执行 XML 外部实体注入。攻击者可能会读取敏感数据，或者触发对内部资源或第三方服务器的恶意请求。请注意，tika-parser-pdf-module 在多个 Tika 程序包中用作依赖项，这些程序包至少包括: tika-parsers-standard-modules、tika-parsers-standard-package、tika-app、tika-grpc 和 tika-server -standard。建议用户升级为已修复此问题的 3.2.2 版。(CVE-2025-54988)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 11 主机上安装的一个程序包受到 dla-4350 公告中提及的一个漏洞影响。

    - ------------------------------------------------------------------------- Debian LTS 公告 DLA-4350-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Paride Legovini 2025 年 10 月 26 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    程序包：tika 版本：1.22-2+deb11u1 CVE ID：CVE-2025-54988

    已修复 tika 软件包（用于分发 Apache Tika 内容分析工具包）中的一个漏洞。该漏洞影响 tika-parser-pdf-module 组件，允许攻击者通过在 PDF 中嵌入精心构建的 XFA 文件来执行 XML 外部实体注入。攻击者可能会读取敏感数据，或者触发对内部资源或第三方服务器的恶意请求。

    对于 Debian 11 bullseye，已在版本 1.22-2+deb11u1 中修复此问题。

    我们建议您升级 tika 程序包。

    如需了解 tika 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/tika

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTS

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的 Atlassian Jira Service Management Data Center and Server (Jira Service Desk) 版本受到 JSDSERVER-16478 公告中所述漏洞的影响。

  - 在所有平台的 Apache Tika tika-core 1.13 至 3.2.1 (包含) 版本中，Apache Tika (tika-parser-pdf-module) 中的严重 XXE 允许攻击者通过在 PDF 中嵌入精心构建的 XFA 文件来执行 XML 外部实体注入。攻击者可能会读取敏感数据，或者触发对内部资源或第三方服务器的恶意请求。请注意，tika-parser-pdf-module 在多个 Tika 程序包中用作依赖项，这些程序包至少包括: tika-parsers-standard-modules、tika-parsers-standard-package、tika-app、tika-grpc 和 tika-server -standard。建议用户升级为已修复此问题的 3.2.2 版。(CVE-2025-54988)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
115081	Atlassian Jira 11.x < 11.2.0 XML 外部实体注入	Web App Scanning	Component Vulnerability	2025/12/17	2025/12/17	critical
115080	Atlassian Jira 10.3.x < 10.3.13 XML 外部实体注入	Web App Scanning	Component Vulnerability	2025/12/17	2025/12/17	critical
260140	Linux Distros 未修补的漏洞：CVE-2025-54988	Nessus	Misc.	2025/9/1	2026/4/29	critical
294978	Oracle Business Process Management Suite (14.1.2.0.0)（2026 年 1 月 CPU）	Nessus	Misc.	2026/1/22	2026/4/30	critical
298175	Atlassian Confluence 7.7.x < 8.5.31 / 8.6.x < 9.2.13 / 9.3.1 < 10.2.2 (CONFSERVER-101878)	Nessus	CGI abuses	2026/2/6	2026/2/6	critical
271505	Debian dla-4350：libtika-java - 安全更新	Nessus	Debian Local Security Checks	2025/10/26	2025/10/26	critical
282636	Atlassian Jira Service Management Data Center and Server 10.3.0 < 10.3.13 / 11.0.x < 11.2.0 (JSDSERVER-16478)	Nessus	Misc.	2026/1/13	2026/1/13	critical

检测

插件搜索

critical

critical

critical

critical

critical

critical

critical