10.1.1 之前的 DotNetNuke CMS 版本受到不受限制的文件上传漏洞影响，这是未正确验证默认 HTML 编辑器提供程序中上传的文件所致。此漏洞允许未经身份验证的用户在没有适当限制的情况下上传文件，从而可能导致覆盖服务器上的现有文件。

攻击者可通过上传恶意文件来利用此漏洞，这可导致网站损坏，或在与其他漏洞结合时执行跨站脚本 (XSS) 负载。

低于 16.10.10408.56683 的 Gladinet CentreStack/Triofox 版本容易受到本地文件包含 (LFI) 漏洞的影响。未经身份验证的攻击者可利用此问题读取受影响系统上的任意文件进而可能导致信息泄露。

存在此漏洞的原因是文件包含功能中未充分验证用户提供的输入。攻击者可操纵输入以包含本地文件系统中的文件例如配置文件或敏感数据。

成功利用此漏洞可允许攻击者获得对敏感信息的访问权限这些信息可用于对系统或网络进行进一步攻击。

远程主机上安装的 Apache Tomcat 版本为 9.0.109 之前的 9.0.0-M1、10.1.0-M1 之前的 10.1.45、11.0.0-M1 之前的 11.0.11。因此，该服务器受到多个漏洞的影响：

 - 通过日志消息中的转义序列进行的控制台操纵。(CVE-2025-55754)

 - 如果启用了 PUT，通过 Rewrite Valve 可能造成的远程代码执行目录遍历。(CVE-2025-55752)

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为 9.0.110 之前的 9.0.0-M1、10.1.0-M1 之前的 10.1.47、11.0.0-M1 之前的 11.0.12。因此它受到一个拒绝服务漏洞影响这是因为延迟清理分段上传临时文件所导致。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

根据其自我报告的版本号远程主机上安装的 Squid 版本低于 7.2。因此它受到信息泄露事件的影响原因是无法编辑 HTTP 认证凭据。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Adobe Magento Open Source / Commerce 容易受到因未受信任数据的不安全反序列化而导致的未经认证的远程代码执行漏洞的影响。攻击者可利用此问题在 Web 服务器进程的上下文中执行任意代码。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本为低于 8.5.25 的 2.x 版、低于 9.2.7 的 9.2.x 版或低于 10.0.2 的 10.x 版。因而会受到拒绝服务漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号远程主机上运行的 Atlassian Jira 应用程序是低于 9.12.28的 9.12.x 、低于 10.3.x 的 10.3.12 或低于 11.x 的 [ 11.1.0。因此，该应用程序受到路径遍历漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题远程主机上运行的 Authentik 版本为低于 2024.6.5 的 或低于 2024.8.x 的 2024.8.3。因而会受到通过 X-Forwarded-For 标头生成的认证绕过漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

3.3.3 之前的 Discourse 版本容易受到备份泄露漏洞的影响这是因为未正确处理“rails send_file”方法中的文件下载所致。攻击者可利用此漏洞下载包含敏感信息的备份文件从而可能导致数据泄露。

低于 2.582 和低于 LTS 2.516.3 的 Jenkins 版本受到缺少对经身份验证用户配置文件下拉菜单的权限检查的影响。未经认证的远程攻击者可获取关于 Jenkins 配置代理和版本的有限信息。

根据其标题远程主机上运行的 Zimbra Collaboration 版本为低于 10.0.x 的 10.0.13 或低于 [ 10.1.x 的 10.1.5。因此它受到存储型跨站脚本 (XSS) 漏洞影响原因是 ICS 文件中的 HTML 内容清理不充分。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Fortra GoAnywhere MFT 是一种 Managed File Transfer (MFT) 解决方案，可帮助组织构建内部和外部数据传输交换。7.8.4 之前和 7.6.3 之前的 GoAnyWhere MFT 版本会受到反序列化漏洞的影响。通过构建特定负载，未经身份验证的远程攻击者可在目标易受攻击的实例上实现远程代码执行。

由于未正确输入验证，低于 5.5.10 的 Dell UnityVSA 版本容易受到远程代码执行漏洞的影响。未经认证的远程攻击者可通过特别构建的请求来利用此漏洞。

低于 8.0.7的 Grafana 版本 8.0.x ]、低于 8.1.x 的 8.1.8、低于 [ 8.2.7的 8.2.x 以及低于 8.3.x ] 的 [ 8.3.1 容易受到路径遍历问题的影响允许攻击者读取主机系统上的任意文件Grafana 有访问权限的 。

远程攻击者可通过向受影响的应用程序发送特制的请求以利用此漏洞。

成功利用此漏洞可能允许攻击者读取主机系统上的敏感文件。

根据其自我报告的版本远程主机上托管的 Grafana 安装版本低于 10.4.17或 11.2.x 低于 11.2.8或 11.3.x 低于 11.3.5或 11.4.x 低于 11.4.3或 11.5.x 低于更改为 11.5.3。因此会受到不当授权的影响。

- Grafana 的数据源代理 API 允许通过在 URL 路径中添加额外斜线字符绕过授权检查。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本远程主机上托管的 Grafana 安装版本低于 11.6.2。因而会受到输入验证不当的影响。

- 过长的仪表盘标题或面板名称将导致 Chromium 浏览器由于 Grafana 中的不当输入验证漏洞而失去响应。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本远程主机上托管的 Grafana 安装版本低于 11.3.8或 11.4.x 低于 11.4.6或 11.5.x 低于 11.5.6或 11.6.x 低于 11.6.3或 12.0.x 低于至 12.0.2或 12.1.x 至 之前的 12.1.2。因此，该主机受到多个漏洞的影响。

- Grafana 组织切换功能中的开放重定向漏洞。

- 开放重定向可与路径遍历漏洞链接以通过脚本化的仪表盘实现 XSS。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Hitachi Pentaho Business Analytics Server 版本低于 8.3.x 的 9.3.0.2 或低于 9.4.x 的 9.4.0.1 版本受到远程代码执行漏洞影响。攻击者可通过将特别构建的 HTTP 请求发送到受影响的应用程序来利用该问题。成功利用此漏洞可让攻击者可在目标系统上执行任意代码。

根据其标题远程主机上运行的 Apache Kylin 版本为 2.3.x < 3.1.0。因而会受到通过 REST API 进行的命令注入漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Zyxel 版本为 < 5.38。因此，受到目录遍历的影响，可能允许攻击者通过特制的 URL 下载或上传文件。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Joomla! 实例版本为低于 4.4.14 的 4.x 或低于 5.3.4 的 5.x。因此该软件受到多个漏洞的影响。

 - checkAttribute 方法中不充分的内容过滤可能导致多个组件中存在 XSS 漏洞。 (CVE-2025-54476)

 - 认证请求的不当处理导致在密钥认证方法中出现用户枚举矢量。 (CVE-2025-54477)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

TRUFusion Enterprise 解决方案可在 PLM 系统中轻松安全地管理 CAD 文件及相关产品设计数据的交换。由于缺少控制，未经认证的攻击者可能访问端点，该端点可返回有权访问该实例的所有合作伙伴。

pyLoad 0.5.0b3.dev76 之前的版本受到一个不当访问控制漏洞的影响。任何未经身份验证的用户都可以浏览特定 URL 以暴露 Flask 配置包括“SECRET_KEY”变量。攻击者可利用此漏洞执行针对应用程序的进一步攻击。

低于 r1720 的 ProjectSend 版本受未正确授权漏洞的影响。未经身份验证的攻击者可利用此问题访问敏感信息并在应用程序中执行未经授权的操作。

Jenkins 2.217 至 2.442 版以及 LTS 2.222.1 至 LTS 2.426.3 版中存在一个漏洞，未经身份验证的远程攻击者可借此诱骗在目标 Jenkins 实例上进行身份验证的用户，并通过 Websocket 执行 Jenkins CLI 跨站任意命令。

低于 3.9.2 的 AIOHTTP 版本容易受到目录遍历的影响允许未经身份验证的攻击者通过特别构建的请求访问敏感文件。

Cacti 版本 1.3.x-DEV 受到一个未经认证的远程代码执行漏洞的影响。攻击者可通过将特制的 HTTP 请求发送到受影响的应用程序来利用此问题。若成功利用此漏洞攻击者在目标系统上执行任意代码。

低于 1.4.5 的 Nuxt Icon 版本容易受到服务器端请求伪造 (SSRF) 的影响这是因为图标提取功能中未充分验证用户提供的 URL所致。攻击者可通过提供指向内部资源或受限资源的恶意 URL 利用此漏洞可能导致未经授权的访问或数据外泄。

根据应用程序自我报告的版本号，远程主机上运行的 FreePBOX 应用程序版本低于 15.0.66，或是低于 16.0.89 的 16.x、低于 17.0.3 的 17.x。因此受到对用户所提供的数据审查不充分的问题影响，未经身份验证的攻击者可以访问 FreePBX Administrator，进而发动任意数据库操纵和远程代码执行攻击。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
115031	DotNetNuke < 10.1.1 不受限制的文件上传	critical
115030	Gladinet CentreStack/Triofox < 16.10.10408.56683 本地文件包含	high
115026	Apache Tomcat 9.0.0-M1 < 9.0.109 多个漏洞	high
115025	Apache Tomcat 10.1.0-M1 < 10.1.45 多个漏洞	high
115024	Apache Tomcat 11.0.0-M1 < 11.0.11 多个漏洞	high
115023	Apache Tomcat 9.0.0-M1 < 9.0.110 拒绝服务	medium
115022	Apache Tomcat 10.1.0-M1 < 10.1.47 拒绝服务	medium
115021	Apache Tomcat 11.0.0-M1 < 11.0.12 拒绝服务	medium
115020	Squid < 7.2 信息泄露	high
115019	Adobe Commerce / Magento 不安全的反序列化 (SessionReaper)	critical
115018	Atlassian Confluence 10.x < 10.0.2 拒绝服务	high
115017	Atlassian Confluence 9.2.x < 9.2.7 拒绝服务	high
115016	Atlassian Confluence 2.x < 8.5.25 拒绝服务	high
115015	Atlassian Jira 11.x < 11.1.0 路径遍历	high
115014	Atlassian Jira 10.3.x < 10.3.12 路径遍历	high
115013	Atlassian Jira 9.12.x < 9.12.28 路径遍历	high
115012	Authentik 2024.8.x < 2024.8.3 认证绕过	critical
115011	Authentik < 2024.6.5 认证绕过	critical
115009	Discourse < 3.3.3 备份泄露	medium
115008	Jenkins Sidepanel 未经授权的代理/队列暴露	medium
115005	Zimbra Collaboration 10.0.x < 10.0.13 存储的跨站脚本	medium
115004	Zimbra Collaboration 10.1.x < 10.1.5 存储的跨站脚本	medium
115003	Fortra GoAnywhere MFT 许可证 Servlet 反序列化漏洞	critical
115000	Dell UnityVSA < 5.5.1.0 远程代码执行	critical
114999	Grafana 8.0.x < 8.0.7 / 8.1.x < 8.1.8 / 8.2.x < 8.2.7 / 8.3.x < 8.3.1 路径遍历	high
114998	Grafana 11.5.x < 11.5.3 不当授权	medium
114997	Grafana 11.4.x < 11.4.3 不当授权	medium
114996	Grafana 11.3.x < 11.3.5 不当授权	medium
114995	Grafana 11.2.x < 11.2.8 不当授权	medium
114994	Grafana < 10.4.17 不当授权	medium
114993	Grafana < 11.6.2 不当输入验证	low
114992	Grafana 12.1.x < 12.1.2 多种漏洞	high
114991	Grafana 12.0.x < 12.0.2 多种漏洞	high
114990	Grafana 11.6.x < 11.6.3 多种漏洞	high
114989	Grafana 11.5.x < 11.5.6 多种漏洞	high
114988	Grafana 11.4.x < 11.4.6 多种漏洞	high
114987	Grafana < 11.3.8 多种漏洞	high
114985	Hitachi Pentaho Business Analytics Server 8.3.x < 9.3.0.2 / 9.4.x < 9.4.0.1 远程代码执行	critical
114984	Apache Kylin 2.3.x < 3.1.0 命令注入	high
114983	Zyxel < 5.38 目录遍历	critical
114982	Joomla! 4.x < 4.4.14 多个漏洞	medium
114981	Joomla! 5.x < 5.3.4 多个漏洞	medium
114980	TRUFusion 企业敏感数据泄露	medium
114978	pyLoad < 0.5.0b3.dev76 错误访问控制	high
114977	ProjectSend < r1720 不当授权	critical
114964	Jenkins 跨站 WebSocket 劫持	critical
114961	AIOHTTP < 3.9.2 目录遍历	high
114960	Cacti 1.3.x-DEV 远程代码执行	critical
114958	Nuxt Icon < 1.4.5 服务器端请求伪造	high
114957	FreeBPX < 17.0.3 身份验证绕过	critical

检测

Web App Scanning 的 Component Vulnerability 系列

critical

high

high

high

high

medium

medium

medium

high

critical

high

high

high

high

high

high

critical

critical

medium

medium

medium

medium

critical

critical

high

medium

medium

medium

medium

medium

low

high

high

high

high

high

high

critical

high

critical

medium

medium

medium

high

critical

critical

high

critical

high

critical