Ivanti EPM Cloud Services Appliance 4.6.0-512 之前版本受到一个漏洞影响，未经身份验证的攻击者可通过特别伪造的请求以有限权限 (nobody) 来执行远程命令。

Apache Hugegraph 1.3.0 之前的 1.0.0 版本受到一个漏洞影响，未经身份验证的攻击者可通过特别伪造的请求来执行远程命令。

Nortek Linear eMerge E3 系列 0.32-08f 之前版本受到一个漏洞影响，未经身份验证的攻击者可通过特别伪造的请求来执行远程命令。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本低于 7.19.22，或是低于 8.5.9 的 7.20.x 版或低于 8.9.1 的 8.6.x 版。因此，它受到存储型跨站脚本 (XSS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ServiceNow 受到一个漏洞影响，未经身份验证的攻击者可通过特别伪造的请求进行服务器端模板注入。攻击者可利用此漏洞来执行任意代码。

根据应用程序自我报告的版本，远程 Web 服务器上运行的 Joomla! 实例版本为低于 3.10.16 的 3.x、低于 4.4.6 的 4.x 或低于 5.1.2 的 5.x。因此，该主机受到多个漏洞的影响。

 - 不充分的输入验证导致 accessiblemedia 字段中存在 XSS 漏洞。(CVE-2024-21729)

 - fancyselect 列表字段布局未正确转义输入，导致存在自 XSS 矢量。(CVE-2024-21730)

 - 输入处理不当可导致 StringHelper::truncate 方法中出现 XSS 矢量。(CVE-2024-21731)

 - 封装程序扩展未正确验证输入，导致存在 XSS 矢量。(CVE-2024-26279)

 - 自定义字段组件未正确筛选输入，导致存在 XSS 矢量。(CVE-2024-26278)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Odoo 是一种受欢迎的 ERP 和 CRM 开源平台。Odoo 包含的数据库管理器可帮助管理员通过 Web 界面对 Odoo 数据库执行管理操作。如果未设置主密码，则此 Web 界面会允许任何未经身份验证的远程攻击者转储现有数据库、设置主密码或还原已遭入侵的数据库。

Odoo 是一种受欢迎的 ERP 和 CRM 开源平台。Odoo 包含的数据库管理器可帮助管理员通过 Web 界面对 Odoo 数据库执行管理操作。此 Web 界面一旦暴露，可以为尝试暴力破解主密码并对目标 Odoo 实例进行高级攻击的攻击者提供帮助。

扫描程序通过在登录表单上使用可预测的凭据，成功地通过了 Grafana Web 应用程序的身份验证。

Qlik Sense Enterprise for Windows 受到路径遍历漏洞和 HTTP 请求走私漏洞的影响，在特定情况下，攻击者可利用第二个漏洞在未经身份验证的情况下远程执行代码。

远程主机上安装的 WordPress Bricks Theme 受到一个漏洞影响，未经身份验证的攻击者可通过特别伪造的请求来执行任意代码。

远程主机上安装的 Apache Tomcat 版本为 9.0.0-M1 至 9.0.89、10.1.0-M1 至 10.1.24 或 11.0.0-M1 至 11.0.0-M20。因而会受到拒绝服务的影响。在处理 HTTP/2 流时，Tomcat 无法正确处理一些 HTTP 标头过多的情况。这会造成活动 HTTP/2 流的错误计数，进而导致使用错误的无限超时，从而允许本应关闭的连接保持打开状态。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

根据其标题，远程主机上运行的 Apache 版本为 2.4.60。因此，会受到通过 AddType 配置的处理程序泄露源代码的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 版本为低于 2.4.60 的 2.4.x。因此，该应用程序受到多个漏洞的影响：

 - 通过 HTTP/2 连接升级 WebSocket 协议可导致空指针取消引用，从而造成服务器进程崩溃和性能降低。(CVE-2024-36387)

 - 在 Windows 上，Apache HTTP Server 中的 SSRF 漏洞导致或可通过 SSRF 和恶意请求或内容将 NTML 哈希泄漏给恶意服务器。(CVE-2024-38472)

 - 2.4.59 及更早版本的 Apache HTTP Server 中的 mod_proxy 存在编码问题，导致攻击可以将编码错误的请求 URL 发送到后端服务，从而可能通过构建的请求绕过身份验证。(CVE-2024-38473)

 - 2.4.59 及更早版本的 Apache HTTP Server 中的 mod_rewrite 存在替换编码问题，导致攻击者可以在配置允许但不能通过任何 URL 直接访问的目录中执行脚本，或泄露只能作为 CGI 执行的脚本的源代码。(CVE-2024-38474)

 - 在 Apache HTTP Server 2.4.59 及更早版本中，mod_rewrite 中的输出转义不当，因此攻击者可以将 URL 映射到服务器允许服务但不能有意/直接通过任何 URL 访问的文件系统位置，从而导致代码执行或源代码披露。(CVE-2024-38475)

 - 2.4.59 及更早版本的 Apache HTTP Server 中的核心容易受到通过含有恶意或可利用响应头的后端应用程序引起的信息泄露、SSRF 或本地脚本执行漏洞影响。(CVE-2024-38476)

 - 2.4.59 及更早版本的 Apache HTTP Server 中的 mod_proxy 存在空指针取消引用漏洞，导致攻击者可以通过恶意请求造成服务器崩溃。(CVE-2024-38477)

 - 2.4.59 及更早版本的 Apache HTTP Server 中的 mod_rewrite 可能存在 SSRF 漏洞，导致攻击者可以造成不安全的 RewriteRules 意外设置要由 mod_proxy 处理的 URL。(CVE-2024-39573)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

“polyfill.js”文件是常用的开源库，可用于在评估 JavaScript 代码时确保旧版浏览器的兼容性。从 2024 年 2 月开始，恶意威胁制造者购买了域“polyfill.io”和相关的 GitHub 帐户，以便在至少依赖“cdn.polyfill.io”域的所有 Web 应用程序中注入恶意软件。“polyfill.js”文件不再可信，因为该恶意代码可在其他 CDN 上重新分发，或在不同插件中本地复制。

Ivanti Sentry（原名 MobileIron Sentry）在 Sentry 管理员界面上容易受到 API 身份验证绕过的影响。未经身份验证的远程攻击者可利用此漏洞来获得对敏感 API 的访问权限，并可以以根用户的身份在易受攻击的实例上执行 OS 命令。

Ivanti Endpoint Manager Mobile（EPMM，原名 MobileIron Core）11.11.0.0 之前的版本受到身份验证绕过漏洞的影响，未经授权的用户可在没有适当身份验证的情况下访问应用程序的受限功能或资源。

WordPress 有名为“emergency.php”的 PHP 脚本，其设计初衷在于帮助网站管理员在万不得已的情况下重置其密码。

当与 Web 应用程序一起暴露时，此文件可允许未经身份验证的远程攻击者执行管理员帐户密码重置。

根据其自我报告的版本号，检测到的 WordPress 应用程序受到多个漏洞的影响：

 - 存在影响 HTML API 的跨站脚本 (XSS) 漏洞。

 - 存在影响 Template Part 区块的跨站脚本 (XSS) 漏洞。

 - 影响 Windows 上托管的网站的路径遍历问题。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Adobe Magento Open Source / Commerce 版本 2.4.7 < 2.4.7-p1、2.4.6 < 2.4.6-p6、2.4.5 < 2.4.5-p8、2.4.4 < 2.4.4-p9 及更低版本受到 XML 外部实体 (XXE) 漏洞。通过利用此漏洞并构建恶意 XML 文档，未经认证的远程攻击者可在有漏洞的 Magento 实例上实现远程代码执行 (RCE)。

ID	名称	严重性
114383	Ivanti EPM Cloud Services Appliance < 4.6.0-512 远程代码执行	critical
114381	Apache Hugegraph 1.0.0 < 1.3.0 远程命令执行	critical
114380	Nortek Linear eMerge E3 系列 < 0.32-08f 命令注入	critical
114379	Atlassian Confluence 8.6.x < 8.9.1 跨站脚本	high
114378	Atlassian Confluence 7.20.x < 8.5.9 跨站脚本	high
114377	Atlassian Confluence < 7.19.22 跨站脚本	high
114376	ServiceNow 服务器端模板注入	critical
114375	Joomla! 3.x < 3.10.16 多个漏洞	medium
114374	Joomla! 4.x < 4.4.6 多个漏洞	medium
114373	Joomla! 5.x < 5.1.2 多个漏洞	medium
114372	Odoo Database Manager 未受保护	critical
114371	检测到 Odoo Database Manager	medium
114370	Grafana 默认凭据	high
114369	Qlik Sense Enterprise 路径遍历	critical
114368	Bricks Theme for WordPress < 1.9.6.1 远程代码执行	critical
114366	Apache Tomcat 9.0.0-M1 < 9.0.90 拒绝服务	high
114365	Apache Tomcat 10.1.0-M1 < 10.1.25 拒绝服务	high
114364	Apache Tomcat 11.0.0-M1 < 11.0.0-M21 拒绝服务	high
114363	Apache 2.4.60 源代码泄露	medium
114360	Apache 2.4.x < 2.4.60 多个漏洞	critical
114357	检测到 Polyfill	medium
114356	Ivanti Sentry 身份验证绕过	critical
114355	Ivanti Endpoint Manager Mobile < 11.11.0.0 身份验证绕过	critical
114329	检测到 WordPress 紧急密码重置脚本	critical
114354	WordPress 6.5.x < 6.5.5 多个漏洞	medium
114353	WordPress 6.4.x < 6.4.5 多个漏洞	medium
114352	WordPress 6.3.x < 6.3.5 多个漏洞	medium
114351	WordPress 6.2.x < 6.2.6 多个漏洞	medium
114350	WordPress 6.1.x < 6.1.7 多个漏洞	medium
114349	WordPress 6.0.x < 6.0.9 多个漏洞	medium
114348	WordPress 5.9.x < 5.9.10 多个漏洞	medium
114347	WordPress 5.8.x < 5.8.10 多个漏洞	medium
114346	WordPress 5.7.x < 5.7.12 多个漏洞	medium
114345	WordPress 5.6.x < 5.6.14 多个漏洞	medium
114344	WordPress 5.5.x < 5.5.15 多个漏洞	medium
114343	WordPress 5.4.x < 5.4.16 多个漏洞	medium
114342	WordPress 5.3.x < 5.3.18 多个漏洞	medium
114341	WordPress 5.2.x < 5.2.21 多个漏洞	medium
114340	WordPress 5.1.x < 5.1.19 多个漏洞	medium
114339	WordPress 5.0.x < 5.0.22 多个漏洞	medium
114338	WordPress 4.9.x < 4.9.26 多个漏洞	medium
114337	WordPress 4.8.x < 4.8.25 多个漏洞	medium
114336	WordPress 4.7.x < 4.7.29 多个漏洞	medium
114335	WordPress 4.6.x < 4.6.29 多个漏洞	medium
114334	WordPress 4.5.x < 4.5.32 多个漏洞	medium
114333	WordPress 4.4.x < 4.4.33 多个漏洞	medium
114332	WordPress 4.3.x < 4.3.34 多个漏洞	medium
114331	WordPress 4.2.x < 4.2.38 多个漏洞	medium
114330	WordPress 4.1.x < 4.1.41 多个漏洞	medium
114325	Adobe Commerce / Magento XML 外部实体注入 (CosmicSting)	critical

检测

Web App Scanning 的 Component Vulnerability 系列

critical

critical

critical

high

high

high

critical

medium

medium

medium

critical

medium

high

critical

critical

high

high

high

medium

critical

medium

critical

critical

critical

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

critical