根据其自我报告的版本号，远程 Web 服务器上托管的 MediaWiki 实例版本低于 1.36。因此，会受到内容语言中拦截程序消息无效且 wiki 中无效英语时的缺陷的影响，从而可能允许远程攻击者绕过针对滥用用户的限制。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 MediaWiki 实例版本低于 1.37。因此，该应用程序受到多个漏洞影响： 

- ImportFile 页面的 clientURL 参数处理中存在漏洞，可导致跨站脚本攻击。

- 页面更新视图中对象的集中描述处理中存在一个漏洞，可导致跨站脚本攻击。

- 外部标识符属性验证处理时存在缺陷，可允许使用包含 javascript: url 方案的 url，从而导致跨站脚本攻击。

- EntitySchema 编辑对话框中存在一个漏洞，该漏洞允许未经身份验证及来自全局排除 IP 的 EntrySchema 标签、描述和别名。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 MediaWiki 实例版本低于 1.35.5，或为 1.36.3 之前的 1.36.x 版或 1.37.1 之前的 1.37 版，因此会受到如下多个漏洞的影响。

- Special: CheckUserLog 的日期验证功能中存在一个漏洞，会导致 XSS 攻击。

- api.php 的语言名称搜索的长度验证例程中存在缺陷，可在搜索中使用极长密钥时导致拒绝服务。

- MassEditRegex 中存在缺陷，因而未能正确检查 CSRF 标记，使其容易遭受攻击。

- WikibaseMediaInfo 在处理导致 XSS 攻击的标题字段时存在漏洞。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 MediaWiki 实例版本低于 1.38.2。因而受到一个漏洞的影响，远程攻击者可利用此漏洞，指定要创建的超大词位，从而在 Wikibase 和 WikibaseLexeme 扩展中引入多种拒绝服务攻击。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上安装的 PHP 为低于 8.0.30 的 8.0.x 版或低于 8.1.22 的 8.1.x 版。因此，该应用程序受到多个漏洞影响：

 - 在未启用 XML 的情况下加载外部实体存在安全问题。(CVE-2023-3823)

 - phar_dir_read() 中存在缓冲区不当管理问题。(CVE-2023-3824)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Ninja Forms Plugin 版本受到多个漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本为低于 7.13.20 的 6.1.0 版、低于 7.19.8 的 6.1.0 版或低于 8.2.0 的 6.1.0 版。因而受到远程代码执行缺陷的影响，远程攻击者可利用此漏洞，在没有用户交互的情况下执行任意代码。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本低于 8.3.2 的 8.0.0 版。因而受到远程代码执行缺陷的影响，远程攻击者可利用此漏洞，在没有用户交互的情况下执行任意代码。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本低于 7.13.17，或是低于 7.19.9 的 7.14.0 版或低于 8.2.2 的 7.20 版。因而受到一个缺陷的影响，对页面具有只读权限的远程攻击者可利用此漏洞，通过附件功能中的中断访问控制漏洞上传附件。

16.2022.12.24 之前版本中的 Odoo 容易受到跨站脚本的影响，这是由于通过 API 处理程序造成的缺少过滤和错误内容类型所致。

Citrix ADC and Gateway 13.1-x < 13.1-45.61、13.0-x < 13.0-90.11、12.1-x < 12.1-65.35 和 ADC 12.1-x (FIPS/NDcPP) < 12.1-55.296 缺少 URL 查询参数清理，这可能导致开放重定向和跨站脚本漏洞。通过构建特定的 URL，未经身份验证的远程攻击者可利用此漏洞，在受害者浏览器的环境中执行恶意 JavaScript 代码。

Nuxt.js 框架版本 3.4.3 之前的 3.4.x 版通过 test-component-wrapper 组件在开发模式下运行时，会遭受远程代码执行的影响。

远程主机上安装的 WordPress Social Login and Register Plugin 会受到身份验证绕过的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress LearnDash Plugin 会受到不安全的直接对象引用的影响。这是由于插件提供了用户控制的对象访问权限，允许用户绕过授权并访问系统资源。这使得具有任何级别的现有帐户访问权限的攻击者能够更改用户密码，并可能接管管理员帐户。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WooCommerce Stripe Payment Gateway Plugin 受到不安全的直接对象引用的影响，导致个人可识别信息泄露。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上安装的 PHP 为低于 8.0.29 的 8.0.x 版、低于 8.1.20 的 8.1.x 版或低于 8.2.7 的 8.2.x 版。因此，该主机受到信息泄露漏洞的影响。未检查 SOAP HTTP 摘要验证代码中使用的随机字节生成函数是否失败。这可导致堆栈信息泄露。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为 8.5.88、9.0.74、10.1.8 或 11.0.0-M5。缺陷 66512 的补丁引入了一个回归，已作为缺陷 66591 进行修复。- 回归意味着，如果响应不包含任何 HTTP 标头，则系统不会发送任何 AJP SEND_HEADERS 消息，而这反过来又意味着至少有一个 AJP 代理 (mod_proxy_ajp) 会使用针对当前请求、来自前一个请求的响应标头，这会导致信息泄露。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 GeoServer 实例会受到 SQL 注入漏洞的影响，这是由于通过 OGC Common Query Language 查询未正确审查所致。

Roxy-WI 是一个开源图形用户界面 (GUI)，用于管理 HAProxy、Nginx、Apache 和 Keepalived 服务器。Roxy-WI 6.1.1.0 之前的版本受影响时未正确审查 `/app/options.py` 端点上的 `ipbackend` 参数，未经身份验证的远程攻击者可利用此问题，在目标实例上实现远程代码执行。

ThoughtWorks GoCD 是一种开源持续集成和开发软件 (CI/CD)，用于构建、部署和测试软件项目。GoCD 版本 20.6.x 至 21.2.0 在其业务连续性附加组件中存在信息泄露问题。未经身份验证的远程攻击者可利用此漏洞，检索 GoCD 服务器已知的所有密码。

根据其自我报告的版本号，数据表的版本为 1.10.10 之前的版本。因此，它可能受到跨站脚本漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

如果应用程序以其中一个 CKAN Docker 图像为依据，而且如果用户未通过环境变量设置自定义值，则安装的 CKAN 版本可受到共享会话密钥的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 CKAN 应用程序版本低于 2.9.9，或是低于 2.10.1 的 2.10.x。因此，该主机受到多个漏洞的影响：

- resource_create 和 package_update 操作中存在任意文件写入，并会使用 ResourceUploader 对象。也可通过调用 package_update 通过 package_create、package_revise 和 package_patch 访问。- 配置为使用文件会话存储后端时，Beaker 的会话存储会通过不安全的 pickle 加载造成远程代码。- 由于对资源 id 缺少长度检查而导致的潜在 DOS。- 信息泄露：具有创建资源权限的用户如果知道该 ID，则可以访问系统中的任何其他资源，即使他们没有该资源的访问权限。- 资源覆盖：具有创建资源权限的用户如果知道该 ID，则可以覆盖任何资源，即使他们没有该资源的访问权限。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Joomla! 实例版本是低于 4.3.2 的 4.2.x。因此，该主机受到多个漏洞的影响。

 - mfa 所选内容中存在开放重定向和跨站脚本 (XSS)。(CVE-2023-23754)

 - 缺少速率限制允许对 MFA 方法进行暴力破解攻击。(CVE-2023-23755)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 WordPress 应用程序会受到弱密码恢复机制的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 Joomla! 应用程序受到多个漏洞的影响：

- 创建管理员帐户

- 未经授权的密码更改

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 Joomla! 应用程序受到多个漏洞的影响：

- 可能允许攻击者执行本应受到限制之操作的安全绕过

- 攻击者可能会利用会话固定来劫持任意会话，并获取敏感信息的访问权限

- 攻击者可利用此问题获取敏感信息的信息泄露漏洞

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，检测到的 Joomla! 应用程序版本为低于1.5.13 的 1.5.x，且受到自动邮件超时绕过漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，检测到的 Joomla! 应用程序版本为 1.6.0，通过 filter_order 和 filer_order_Dir 参数，受到 SQL 注入的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 Joomla! 应用程序受到多个漏洞的影响：

- 不充分的错误检查导致信息泄露

- 弱加密导致的信息泄露

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

CA SiteMinder 是一个统一访问管理平台，提供单点登录功能和身份验证联合以进行顺畅的访问。CA SiteMinder WebAgent（此平台组件中的一个）受到通过某些`fcc` 端点的跨站脚本 (XSS) 漏洞的影响。通过构建 URL 中特定的负载，未经身份验证的远程攻击者可利用此漏洞，在目标受害者用户浏览器的执行环境中注入恶意 JavaScript。

Symfony 是依赖捆绑包的免费开源 PHP Web 应用程序框架，捆绑是允许开发人员挂钩 Symfony 的插件。Symfony 会提供调试模式，允许开发人员使用 Web 探查器和调试工具栏等其他工具来帮助进行应用程序故障排除：错误页面、探查器和 phpinfo 上暴露 PHP 环境配置的堆栈跟踪。未经身份验证的远程攻击者可利用这些信息，访问与当前应用程序请求和配置相关的敏感信息。

PaperCut NG/MF 是一个打印管理系统，旨在帮助组织监控和控制打印资源，同时向其最终用户提供易于使用的解决方案。20.1.7 以下的 PaperCut NG/MF 版本、低于 21.2.11 的 21.x 版和低于 22.0.9 的 22.x 版，均会受到 `SetupCompleted` 类中一个身份验证绕过漏洞的影响。未经身份验证的远程攻击者可利用此漏洞，以管理员身份登录，并在目标 PaperCut 实例上实现远程代码执行。

Sitecore CMS 版本 9.x/10.x 可能会受到错误路径访问检查漏洞的影响，未经身份验证的远程攻击者可利用此漏洞，读取 Webroot 目录内的任意文件

Adobe ColdFusion 版本 2021 以下的 Update 6 和 2018 版本以下的 Update 16 会受到一个反序列化漏洞的影响，可通过 `_cfclient` 请求中的 `JSONUtils.deserializeJSON` 方法实现。未经身份验证的远程攻击者可利用此漏洞，在目标 ColdFusion 实例上实现任意文件读取和远程代码执行。

Fortra GoAnywhere MFT 是一种 Managed File Transfer (MFT) 解决方案，可帮助组织构建内部和外部数据传输交换。7.1.2 之前的 GoAnyWhere MFT 版本会受到 LicenseResponse servlet 中反序列化漏洞的影响。通过构建特定的序列化对象，未经身份验证的远程攻击者可在易受攻击的系统上实现远程代码执行。

ID	名称	严重性
113994	MediaWiki < 1.36.0 无效 MediaWiki Abusefilter-blocker 中断筛选条件	critical
113993	MediaWiki < 1.37.0 多个漏洞	medium
113992	MediaWiki 1.37.x < 1.37.1 多个漏洞	high
113991	MediaWiki 1.36.x < 1.36.3 多个漏洞	high
113990	MediaWiki < 1.35.5 多个漏洞	high
113989	MediaWiki < 1.38.2 词位长度无限拒绝服务	high
113988	PHP 8.0.x < 8.0.30 多个漏洞	critical
113987	PHP 8.1.x < 8.1.22 多个漏洞	critical
113986	Ninja Forms Plugin for WordPress < 3.6.26 多个漏洞	critical
113985	Atlassian Confluence 8.x < 8.2.0 远程代码执行	high
113984	Atlassian Confluence 7.14.0 < 7.19.8 < 远程代码执行	high
113983	Atlassian Confluence 6.1.x < 7.13.20 远程代码执行	high
113982	Atlassian Confluence 8.x < 8.3.2 远程代码执行	high
113981	Atlassian Confluence 7.20.x < 8.2.2 只读用户附件上传	medium
113980	Atlassian Confluence 7.14.x < 7.19.9 只读用户附件上传	medium
113979	Atlassian Confluence < 7.13.17 只读用户附件上传服务	medium
113977	Odoo < 16.2022.12.24 跨站脚本	medium
113971	Citrix Gateway/ADC 跨站脚本	medium
113970	Nuxt.js 3.4.x < 3.4.3 远程代码执行	critical
113969	Social Login and Register for WordPress < 7.6.5 身份验证绕过	critical
113968	LearnDash Plugin for WordPress < 4.6.0.1 不安全的直接对象引用	high
113967	WooCommerce Stripe Payment Gateway Plugin for WordPress < 7.4.1 不安全的直接对象引用	high
113966	PHP 8.0.x < 8.0.29 信息泄露	medium
113965	PHP 8.1.x < 8.1.20 信息泄露	medium
113964	PHP 8.2.x < 8.2.7 信息泄露	medium
113963	Apache Tomcat 8.5.88 信息泄露	high
113962	Apache Tomcat 9.0.74 信息泄露	high
113961	Apache Tomcat 10.1.8 信息泄露	high
113960	Apache Tomcat 11.0.0-M5 信息泄露	high
113959	GeoServer SQL 注入	critical
113953	Roxy-WI < 6.1.1.0 远程代码执行	critical
113952	GoCD 信息泄露	high
113958	数据表 < 1.10.10 跨站脚本	medium
113957	CKAN 2.9.x < 2.9.7 共享会话密钥	high
113956	CKAN < 2.8.12 共享会话密钥	high
113955	CKAN 2.10.x < 2.10.1 多个漏洞	critical
113954	CKAN < 2.9.9 多个漏洞	critical
113950	Joomla! 4.2.x < 4.3.2 多个漏洞	high
113949	WordPress < 4.4 弱密码恢复	high
113948	Joomla! < 2.5.4 多个漏洞	high
113947	Joomla! 1.5.x < 1.5.16 多个漏洞	critical
113946	Joomla! 1.5.x < 1.5.13 自动化邮件超时绕过	medium
113945	Joomla!1.6.0 SQL 注入	critical
113944	Joomla!1.7.1 多个漏洞	high
113938	CA SiteMinder WebAgent 跨站脚本	medium
113933	已启用 Symfony 调试模式	critical
113932	PaperCut NG/MF 身份验证绕过	critical
113905	Sitecore 未经身份验证的任意文件读取	medium
113903	Adobe ColdFusion ComponentFilter 远程代码执行	high
113896	Fortra GoAnywhere MFT < 7.1.2 远程代码执行	high

检测

Web App Scanning 的 Component Vulnerability 系列

critical

medium

high

high

high

high

critical

critical

critical

high

high

high

high

medium

medium

medium

medium

medium

critical

critical

high

high

medium

medium

medium

high

high

high

high

critical

critical

high

medium

high

high

critical

critical

high

high

high

critical

medium

critical

high

medium

critical

critical

medium

high

high