由于未正确输入验证，低于 5.5.10 的 Dell UnityVSA 版本容易受到远程代码执行漏洞的影响。未经认证的远程攻击者可通过特别构建的请求来利用此漏洞。

低于 8.0.7的 Grafana 版本 8.0.x ]、低于 8.1.x 的 8.1.8、低于 [ 8.2.7的 8.2.x 以及低于 8.3.x ] 的 [ 8.3.1 容易受到路径遍历问题的影响允许攻击者读取主机系统上的任意文件Grafana 有访问权限的 。

远程攻击者可通过向受影响的应用程序发送特制的请求以利用此漏洞。

成功利用此漏洞可能允许攻击者读取主机系统上的敏感文件。

根据其自我报告的版本远程主机上托管的 Grafana 安装版本低于 10.4.17或 11.2.x 低于 11.2.8或 11.3.x 低于 11.3.5或 11.4.x 低于 11.4.3或 11.5.x 低于更改为 11.5.3。因此会受到不当授权的影响。

- Grafana 的数据源代理 API 允许通过在 URL 路径中添加额外斜线字符绕过授权检查。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本远程主机上托管的 Grafana 安装版本低于 11.6.2。因而会受到输入验证不当的影响。

- 过长的仪表盘标题或面板名称将导致 Chromium 浏览器由于 Grafana 中的不当输入验证漏洞而失去响应。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本远程主机上托管的 Grafana 安装版本低于 11.3.8或 11.4.x 低于 11.4.6或 11.5.x 低于 11.5.6或 11.6.x 低于 11.6.3或 12.0.x 低于至 12.0.2或 12.1.x 至 之前的 12.1.2。因此，该主机受到多个漏洞的影响。

- Grafana 组织切换功能中的开放重定向漏洞。

- 开放重定向可与路径遍历漏洞链接以通过脚本化的仪表盘实现 XSS。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Hitachi Pentaho Business Analytics Server 版本低于 8.3.x 的 9.3.0.2 或低于 9.4.x 的 9.4.0.1 版本受到远程代码执行漏洞影响。攻击者可通过将特别构建的 HTTP 请求发送到受影响的应用程序来利用该问题。成功利用此漏洞可让攻击者可在目标系统上执行任意代码。

根据其标题远程主机上运行的 Apache Kylin 版本为 2.3.x < 3.1.0。因而会受到通过 REST API 进行的命令注入漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Zyxel 版本为 < 5.38。因此，受到目录遍历的影响，可能允许攻击者通过特制的 URL 下载或上传文件。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Joomla! 实例版本为低于 4.4.14 的 4.x 或低于 5.3.4 的 5.x。因此该软件受到多个漏洞的影响。

 - checkAttribute 方法中不充分的内容过滤可能导致多个组件中存在 XSS 漏洞。 (CVE-2025-54476)

 - 认证请求的不当处理导致在密钥认证方法中出现用户枚举矢量。 (CVE-2025-54477)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

TRUFusion Entreprise 是一款用于轻松安全地管理 PLM 系统内的 CAD 文件交换和相关产品设计数据的解决方案。由于缺少控制未经认证的攻击者可访问可访问实例的所有合作伙伴的端点。

pyLoad 0.5.0b3.dev76 之前的版本受到一个不当访问控制漏洞的影响。任何未经身份验证的用户都可以浏览特定 URL 以暴露 Flask 配置包括“SECRET_KEY”变量。攻击者可利用此漏洞执行针对应用程序的进一步攻击。

低于 r1720 的 ProjectSend 版本受未正确授权漏洞的影响。未经身份验证的攻击者可利用此问题访问敏感信息并在应用程序中执行未经授权的操作。

Jenkins 2.217 至 2.442 版以及 LTS 2.222.1 至 LTS 2.426.3 版中存在一个漏洞，未经身份验证的远程攻击者可借此诱骗在目标 Jenkins 实例上进行身份验证的用户，并通过 Websocket 执行 Jenkins CLI 跨站任意命令。

低于 3.9.2 的 AIOHTTP 版本容易受到目录遍历的影响允许未经身份验证的攻击者通过特别构建的请求访问敏感文件。

Cacti 版本 1.3.x-DEV 受到一个未经认证的远程代码执行漏洞的影响。攻击者可通过将特制的 HTTP 请求发送到受影响的应用程序来利用此问题。若成功利用此漏洞攻击者在目标系统上执行任意代码。

低于 1.4.5 的 Nuxt Icon 版本容易受到服务器端请求伪造 (SSRF) 的影响这是因为图标提取功能中未充分验证用户提供的 URL所致。攻击者可通过提供指向内部资源或受限资源的恶意 URL 利用此漏洞可能导致未经授权的访问或数据外泄。

根据应用程序自我报告的版本号，远程主机上运行的 FreePBOX 应用程序版本低于 15.0.66，或是低于 16.0.89 的 16.x、低于 17.0.3 的 17.x。因此受到对用户所提供的数据审查不充分的问题影响，未经身份验证的攻击者可以访问 FreePBX Administrator，进而发动任意数据库操纵和远程代码执行攻击。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其服务器响应头安装的 nginx 版本为 0.7.22 至 1.29.0。因此受到 ngx_mail_smtp_module 中的缓冲区过度读取漏洞的影响可能允许未经身份验证的攻击者过度读取 NGINX SMTP 认证进程内存因此服务器端可能会将向认证服务器发出的请求中发送的任意字节泄漏。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为 9.0.108 之前的 9.0.0-M1、10.1.0-M1 之前的 10.1.44、11.0.0-M1 之前的 11.0.10。因此受到拒绝服务漏洞的影响原因是 Tomcat 的 HTTP/2 实现容易受到 make you reset 攻击。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

CrushFTP 10.8.5 之前版本和 11.x 的 11.3.4_23 之前版本容易受到争用条件的影响，未经身份验证的远程攻击者可通过特别构建的请求来访问未经授权的端点。

产生此问题的原因是程序未正确处理并发请求。攻击者可以通过向受影响的应用程序并行发送多个请求来利用此问题。

低于 7.4.3.133 的Liferay Portal 版本 7.4.x 以及低于 2024.Q1.16 或 2025.Q1.x 的 DXP 或低于 [] 的 2025.Q1.5 或低于 2025.Q2.x 的 2025.Q2.0 受到跨站脚本的影响允许未经认证的远程攻击者将 JavaScript 注入modules/apps/currency.

低于 7.4.3.132 的 Liferay Portal 版本 7.4.x 、低于 2024.Q1.13 的 DXP 版本或低于 2024.Q2 的 2024.Q4.6 受到跨站脚本的影响允许未经认证的远程攻击者将 JavaScript 注入 modules/apps/match -app-manager-web。

低于 2.3c 的 Rejetto HTTP File Server 版本容易受到远程代码执行漏洞的影响。此漏洞可让未经认证的远程攻击者通过发送特别构建的 HTTP 请求，在受影响的系统上执行任意命令。

根据其标题，远程主机上运行的 Active! Mail 版本为 < 6.60.05008562。因此，该平台受到因基于堆栈的缓冲区溢出漏洞导致的远程代码执行漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

低于 2025.1.1.3 的 Advantive Veracore 版本在 timeoutWarning.asp 功能中容易受到 SQL 注入影响从而允许攻击者通过 PmSess1 参数执行任意 SQL 查询。

根据应用程序自我报告的版本号，远程主机上安装的 Squidcinstalled 为低于 5.0.4 的 5.x 版或者低于 4.13 版。因此，在处理 URN 时，容易发生堆缓冲区溢出，且可能遭到远程代码执行攻击。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Lighthouse Studio 9.16.3 和较早版本容易受到通过 ciwweb.pl Perl Web 应用程序发动的远程代码执行的影响。此漏洞允许攻击者通过向 ciwweb.pl 脚本发送特别构建的请求在服务器上执行任意代码。

Wing FTP 版本 7.4.2 和更旧版本容易受到远程代码执行漏洞的影响，这是因为未正确处理文件路径中的空字符所致。攻击者可通过发送特别构建的包含空字符的请求利用此漏洞，从而允许在服务器上执行任意命令。

根据其标题，远程主机上运行的 Apache 版本为 2.4.64。因而受到导致所有“RewriteCond expr ...”测试评估结果为“true”的缺陷的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Microsoft SharePoint Server 订阅版 < 16.0.18526.20508 或 2016 < 16.0.5513.1001 或 2019 < 16.0.10417.20037 受到漏洞影响，未经身份验证的攻击者可以借此通过不安全的反序列化执行任意代码。

Fortinet FortiWeb 7.0.x < 7.0.11、7.2.x < 7.2.11、7.4.x < 7.4.8、7.6.x < 7.6.4 容易受到预身份验证 SQL 注入的影响，此漏洞可导致远程代码执行。通过利用此漏洞，未经身份验证的远程攻击者可以将恶意 SQL 查询注入 FortiWeb Fabric Connector，并完全破坏受影响的系统。

根据其标题，远程主机上运行的 Apache 版本为低于 2.4.64 的 2.4.x。因此，该应用程序受到多个漏洞的影响：

 - Apache HTTP Server 核心中的 HTTP 响应拆分允许攻击者如果能够操纵由服务器托管或代理的应用程序的 Content-Type 响应标头就可以拆分 HTTP 响应。 (CVE-2024-42516)

 - 加载了 mod_proxy 的 Apache HTTP Server 中的服务器端请求伪造 (SSRF) 允许攻击者向由攻击者控制的 URL 发送出站代理请求。 (CVE-2024-43204)

 - Windows 上Apache HTTP Server 中的服务器端请求伪造 (SSRF) 允许通过传递未经验证的请求输入的 mod_rewrite 或 apache 表达式可能将 NTLM 哈希泄漏给恶意服务器。 (CVE-2024-43394)

 - Apache HTTP Server 2.4.63 和更早版本中的 mod_ssl 中用户提供的数据转义不充分允许不受信任的 SSL/TLS 客户端将转义字符插入到某些配置中的日志文件中。 (CVE-2024-47252)

 - 在 Apache HTTP Server 上的某些 mod_ssl 配置中 2.4.35 到 到 2.4.62受信任的客户端可能使用 TLS 1.3 会话恢复绕过访问控制。 (CVE-2025-23048)

 - 在某些代理配置中不受信任的客户端可能会触发针对 Apache HTTP Server 版本 2.4.26 到 至 2.4.63 的拒绝服务攻击进而在 mod_proxy_http2 中造成断言。 (CVE-2025-49630)

 - 在 Apache HTTP Server 版 至 2.4.63上的某些 mod_ssl 配置中HTTP 去同步攻击允许中间人攻击者通过 TLS 升级劫持 HTTP 会话。 (CVE-2025-49812)

 - Apache HTTP Server 中的在有效生命周期后延迟内存释放的漏洞。 (CVE-2025-53020) 请注意扫描程序并未测试这些问题而仅依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为 9.0.107 之前的 9.0.0-M1、10.1.0-M1 之前的 10.1.43、11.0.0-M1 之前的 11.0.9。因此，该服务器受到多个漏洞的影响：

 - 使用 APR/Native 连接器时连接关闭时的争用条件可触发 JVM 崩溃从而导致 DoS。这对于客户端发起的 HTTP/2 连接关闭尤其明显。 (CVE-2025-52434)

 - 对于某些不太可能的分段上传配置整数溢出漏洞可通过绕过大小限制导致 DoS。 (CVE-2025-52520)

 - 如果 HTTP/2 客户端不确认可降低最大允许并发流的初始设置框架则存在不受控制的资源消耗漏洞从而导致 DoS。 (CVE-2025-53506)

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

XWiki Platform 2.2 至 14.10.17、15.0-rc-1 至 15.5.3 和 15.6-rc-1 至 15.8-rc-1 版本受到服务器端模板注入 (SSTI) 的影响，原因是缺少对用户注册表输入的审查。未经身份验证的远程攻击者可利用此漏洞，在存在漏洞的 XWiki 实例上实现特权提升和代码执行。

ID	名称	严重性
115000	Dell UnityVSA < 5.5.1.0 远程代码执行	critical
114999	Grafana 8.0.x < 8.0.7 / 8.1.x < 8.1.8 / 8.2.x < 8.2.7 / 8.3.x < 8.3.1 路径遍历	high
114998	Grafana 11.5.x < 11.5.3 不当授权	medium
114997	Grafana 11.4.x < 11.4.3 不当授权	medium
114996	Grafana 11.3.x < 11.3.5 不当授权	medium
114995	Grafana 11.2.x < 11.2.8 不当授权	medium
114994	Grafana < 10.4.17 不当授权	medium
114993	Grafana < 11.6.2 不当输入验证	low
114992	Grafana 12.1.x < 12.1.2 多种漏洞	high
114991	Grafana 12.0.x < 12.0.2 多种漏洞	high
114990	Grafana 11.6.x < 11.6.3 多种漏洞	high
114989	Grafana 11.5.x < 11.5.6 多种漏洞	high
114988	Grafana 11.4.x < 11.4.6 多种漏洞	high
114987	Grafana < 11.3.8 多种漏洞	high
114985	Hitachi Pentaho Business Analytics Server 8.3.x < 9.3.0.2 / 9.4.x < 9.4.0.1 远程代码执行	critical
114984	Apache Kylin 2.3.x < 3.1.0 命令注入	high
114983	Zyxel < 5.38 目录遍历	critical
114982	Joomla! 4.x < 4.4.14 多个漏洞	medium
114981	Joomla! 5.x < 5.3.4 多个漏洞	medium
114980	TRUFusion Enterprise 敏感数据泄露	medium
114978	pyLoad < 0.5.0b3.dev76 错误访问控制	high
114977	ProjectSend < r1720 不当授权	critical
114964	Jenkins 跨站 WebSocket 劫持	critical
114961	AIOHTTP < 3.9.2 目录遍历	high
114960	Cacti 1.3.x-DEV 远程代码执行	critical
114958	Nuxt Icon < 1.4.5 服务器端请求伪造	high
114957	FreeBPX < 17.0.3 身份验证绕过	critical
114956	FreeBPX < 16.0.89 身份验证绕过	critical
114955	FreeBPX < 15.0.66 身份验证绕过	critical
114954	Nginx 0.7.22 < 1.29.1 缓冲区读取越界	medium
114953	Apache Tomcat 9.0.0-M1 < 9.0.108 拒绝服务	high
114952	Apache Tomcat 10.1.0-M1 < 10.1.44 拒绝服务	high
114951	Apache Tomcat 11.0.0-M1 < 11.0.10 拒绝服务	high
114950	CrushFTP < 10.8.5 / 11.x < 11.3.4_23 争用条件	critical
114945	Liferay Portal 7.4.x < 7.4.3.133 跨站脚本	medium
114944	Liferay Portal 7.4.x < 7.4.3.132 跨站脚本	medium
114943	Rejetto HTTP File Server < 2.3c 远程代码执行	critical
114942	Active! Mail < 6.60.05008562 远程代码执行	critical
114935	Advantive Veracore < 2025.1.1.3 SQL 注入	high
114931	Squid < 6.4 远程代码执行漏洞	critical
114926	Lighthouse Studio < 9.16.14 远程代码执行	critical
114925	Wing FTP < 7.4.4 远程代码执行	critical
114924	Apache 2.4.64 RewriteCond expr 漏洞	medium
114923	Microsoft SharePoint 远程代码执行	critical
114922	Fortinet FortiWeb Fabric Connector SQL 注入	critical
114917	Apache 2.4.x < 2.4.64 多个漏洞	critical
114916	Apache Tomcat 9.0.0-M1 < 9.0.107 多个漏洞	high
114915	Apache Tomcat 10.1.0-M1 < 10.1.43 多个漏洞	high
114914	Apache Tomcat 11.0.0-M1 < 11.0.9 多个漏洞	high
114913	XWiki 用户注册远程代码执行	critical

检测

Web App Scanning 的 Component Vulnerability 系列

critical

high

medium

medium

medium

medium

medium

low

high

high

high

high

high

high

critical

high

critical

medium

medium

medium

high

critical

critical

high

critical

high

critical

critical

critical

medium

high

high

high

critical

medium

medium

critical

critical

high

critical

critical

critical

medium

critical

critical

critical

high

high

high

critical