Magento Mass Importer (Magmi) 是一个 Magento 数据库客户端，用于对在线商店的模型执行原始批量操作。Magento Mass Importer 受到跨站请求伪造漏洞的影响，攻击者可利用此漏洞针对特权用户并针对管理界面执行恶意操作。攻击者可利用此漏洞，在目标应用程序上实现远程代码执行。

在 ThinkPHP 5.0.x 的多个子系统中存在一个远程代码执行漏洞。此漏洞可能允许攻击者利用 ThinkPHP 站点上的多个攻击向量，可能导致该站点被完全破坏。

注意：此漏洞已使用活动检查进行了检测，应立即修复。

在 ThinkPHP 5.0.x 和 5.1.x 的多个子系统中存在一个远程代码执行漏洞。此漏洞可能允许攻击者利用 ThinkPHP 站点上的多个攻击向量，可能导致该站点被完全破坏。

注意：此漏洞已使用活动检查进行了检测，应立即修复。

已在目标 Web 应用程序上检测到 Sitefinity 管理面板。

这可能为攻击者提供可通过其他技术（例如暴力破解或字典攻击）利用的利用向量，从而允许攻击者获取对管理功能的访问权限。

远程 Web 服务器使用默认 Microsoft IIS 索引页面。此页面可能包含一些诸如服务器根和安装路径的敏感信息。

这可能会向未经身份验证的远程攻击者泄露与服务器安装相关的实用信息。

远程 Web 服务器正在运行的 Telerik Reporting 版本会受到一个跨站脚本 (XSS) 漏洞的影响，这是由于 Telerik.ReportViewer.WebForms.dll 中存在缺陷所致，允许远程攻击者使用特别构建的请求，从而可能导致任意 HTML 和脚本代码注入用户的浏览器，以在受影响站点的安全上下文中执行。

远程 Web 服务器正在运行的 Apache星火版本受到由于星火群集的 UI 的作业和阶段信息页面中的一个缺陷跨站脚本 (XSS) 漏洞的影响这允许远程攻击者使用特别构建的请求可造成导致任意 HTML 和脚本代码注入用户浏览器以在受影响站点的安全环境中执行。

Microsoft Internet Information Server (IIS) 受到一个漏洞的影响，该漏洞允许允许检测文件和目录的简短名称，这些名称在版本 8.3 的文件命名机制中是对应的。通过构建包含波浪符“~”字符的特定请求攻击者可利用此漏洞查找通常不可见的文件或目录并获取敏感信息的访问权限。鉴于远程服务器生成的底层文件系统调用，攻击者还可能尝试对目标应用程序造成拒绝服务。

Magento Mass Importer (Magmi) 是一个 Magento 数据库客户端，用于对在线商店的模型执行原始批量操作。0.7.23 之前的 Magento Mass Importer 版本受到通过 /magmi/web/ajax_gettime.php URL 的前缀参数造成的跨站脚本漏洞的影响，从而允许攻击者在有漏洞的应用程序的上下文中注入 HTML 或 javascript 代码。攻击者可利用此漏洞针对 Magento 特权用户，并获取敏感信息的访问权限或代表该用户执行修改。

vBulletin 是一种用于构建在线社区的常用 PHP 论坛软件。 vBulletin 低于 5.5.6 修补程序级别 1 的版本、低于 5.6.0 修补程序级别 1 的 5.6.0 版、低于 5.6.1 修补程序级别 1 的 5.6.1 版均会受到 SQL 注入漏洞影响，可通过 getIndexableContent ajax 函数中的“nodeId”参数实现。未经身份验证的远程攻击者可利用此问题来接管论坛管理员帐户，并在目标主机上实现远程代码执行。

Oracle Fusion 中间件版本 10.0.2 和 10.3.6 中的 Oracle WebLogic UDDI Explorer 服务会受到服务器端请求伪造漏洞的影响，这是由于缺少对 SearchPublicRegistries.jsp 页面中运算符参数的验证所致。未经身份验证的远程攻击者可利用此问题，在目标应用程序及其内部网络上检索敏感信息和执行端口扫描。

Oracle WebLogic UDDI Explorer 允许经授权的用户访问和修改与发布在私有 WebLogic Server UDDI 注册中的 Web 服务信息相关的信息。

扫描程序能够检测到此服务在目标 Web 应用程序上已暴露，而且攻击者可利用此服务帮助开展进一步的攻击。

Liferay Portal 是一种通用的 Java 内容管理系统 (CMS)，用于构建公司内联网和公共网站。

Liferay Portal 版本 6.2.4 及更低版本、7.0.0 至 7.0.5、7.1.0 至 7.1.2 和 7.2.0 会通过 JSON webservices 执行不安全的 Java 反序列化，允许未经身份验证的攻击者在目标应用程序上执行远程代码。

Pivotal Spring Boot 是一个 Java 框架，旨在帮助开发人员创建最小的基于 Spring 的应用程序。Spring 应用程序会提供 Spring 表达式语言 (SpEL)，这是一种功能强大的表达式语言，用于在运行时查询和操纵对象图。

Spring Boot 1.2.8 之前的版本和版本 1.3.0 在渲染白色标签错误页面时未正确处理异常，并会将用户控制的输入评估为 SpEL 表达式。

攻击者可利用此漏洞，构建并注入特定 SpEL 表达式，以在目标应用程序上实现远程代码执行。

远程 Web 服务器使用默认 Lighttpd 索引页面。此页面可能包含一些诸如服务器根和安装路径的敏感信息。

这可能会向未经身份验证的远程攻击者泄露与服务器安装相关的实用信息。

在远程 Web 服务器根目录中运行的 ASP.NET Web 应用程序已启用应用程序跟踪。未经身份验证的远程攻击者可借此查看对服务器发出的最近 50 条 Web 请求，包括会话 ID 值等敏感信息，以及所请求文件的物理路径。

扫描程序已检测到远程 Web 服务器上存在 Nginx 默认索引页面。

这可能会向未经身份验证的远程攻击者泄露与服务器安装相关的实用信息。

远程服务器未配置 SSL/TLS 加密套件首选项列表，使得协商期间的加密套件选项使用客户端的有序列表。

扫描程序发现某些响应中包含一个状态代码，而不是通常的 200（正常）、301（永久移动）、302（已找到）和 404（未找到）代码。这些代码可针对 Web 应用程序的行为提供实用见解，并识别要解决的任何意外响应。

扫描程序可能已经为一个或多个端点检测到 API 的多个版本。

远程主机包含名为“robots.txt”的文件，该文件用于防止网络“机器人”出于维护或索引目的来访问网站中的某些目录。恶意用户也可能使用该文件的内容来了解受影响站点上的敏感文档或目录，并直接检索它们或针对它们发动其他攻击。

此插件可显示有关远程服务器支持的 HTTPS 连接之 SSL/TLS 版本的信息。

如要获取目标网页的屏幕截图，请参阅随附的图像。此屏幕截图应该会显示我们要对其启动扫描的目标页面。如果该图像不是预期目标页面，请检查扫描配置中提供的 url。

扫描程序检测到一个或多个 HTML 对象标签。此标签用于在 HTML 页面中嵌入音频、视频、Java 小程序、ActiveX、PDF 和 Flash 等多媒体。

扫描程序因从 Web 应用程序收到多个连续超时提醒而中止扫描，进而防止 Web 应用程序完全无响应，或是无法处理正常请求。

ID	名称	产品	系列	最近更新时间	严重程度
112567	Magento Mass Importer 跨站请求伪造	Web App Scanning	Component Vulnerability	2021/9/7	high
112565	ThinkPHP 5.0.x < 5.0.24 远程代码执行	Web App Scanning	Component Vulnerability	2021/9/7	critical
112564	ThinkPHP 5.0.x < 5.0.23/5.1.x < 5.1.31 远程代码执行	Web App Scanning	Component Vulnerability	2021/9/7	critical
112528	检测到 Sitefinity 管理面板登录表单	Web App Scanning	Web Applications	2021/9/7	medium
112500	Microsoft IIS 默认索引页面	Web App Scanning	Component Vulnerability	2021/9/7	medium
112490	Telerik Reporting < 11.0.17.406 跨站脚本	Web App Scanning	Component Vulnerability	2021/9/7	medium
112470	Apache Spark < 2.1.3/2.2.x < 2.2.2/2.3.x < 2.3.1 UI 中存在 XSS	Web App Scanning	Component Vulnerability	2021/9/7	medium
112442	Microsoft IIS 波浪符字符短文件/文件夹名称泄露	Web App Scanning	Component Vulnerability	2021/9/7	medium
112441	Magento Mass Importer < 0.7.23 跨站脚本	Web App Scanning	Component Vulnerability	2021/9/7	medium
112440	vBulletin < 5.5.6 修补程序级别 1/ 5.6.0 < 5.6.0 修补程序级别 1/ 5.6.1 < 5.6.1 修补程序级别 1 SQL 注入漏洞	Web App Scanning	Component Vulnerability	2021/9/7	critical
112422	Oracle WebLogic UDDI Explorer 服务器端请求伪造	Web App Scanning	Component Vulnerability	2021/9/7	medium
112421	检测到 Oracle WebLogic UDDI Explorer	Web App Scanning	Web Applications	2021/9/7	medium
112382	Liferay Portal < 6.2.5/7.0.x < 7.0.6/7.1.x < 7.1.3/7.2.0 远程代码执行	Web App Scanning	Component Vulnerability	2021/9/7	critical
112380	Spring Boot < 1.2.8/1.3.0 Whitelabel 错误页面远程代码执行	Web App Scanning	Component Vulnerability	2021/9/7	critical
112360	Lighttpd 默认索引页面	Web App Scanning	Component Vulnerability	2021/9/7	medium
112352	Microsoft ASP.NET 应用程序 trace.axd 信息泄露	Web App Scanning	Component Vulnerability	2021/9/7	medium
112350	Nginx 默认索引页面	Web App Scanning	Component Vulnerability	2021/9/7	medium
112599	未检测到 SSL/TLS 服务器加密套件首选项	Web App Scanning	SSL/TLS	2021/8/25	info
98050	有趣的响应	Web App Scanning	Web Applications	2021/6/14	info
112714	检测到 API 版本	Web App Scanning	Web Applications	2021/3/10	info
98705	检测到 Robots.txt 文件	Web App Scanning	Web Servers	2020/12/17	info
112530	支持 SSL/TLS 版本	Web App Scanning	SSL/TLS	2020/10/2	info
98138	屏幕截图	Web App Scanning	General	2018/2/14	info
98092	HTML 对象	Web App Scanning	Web Servers	2017/10/16	info
98137	扫描已在超时次数过多后中止	Web App Scanning	General	2017/9/18	info

检测

最近更新的插件

high

critical

critical

medium

medium

medium

medium

medium

medium

critical

medium

medium

critical

critical

medium

medium

medium

info

info

info

info

info

info

info

info