如果应用程序以其中一个 CKAN Docker 图像为依据，而且如果用户未通过环境变量设置自定义值，则安装的 CKAN 版本可受到共享会话密钥的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 CKAN 应用程序版本低于 2.9.9，或是低于 2.10.1 的 2.10.x。因此，该主机受到多个漏洞的影响：

- resource_create 和 package_update 操作中存在任意文件写入，并会使用 ResourceUploader 对象。也可通过调用 package_update 通过 package_create、package_revise 和 package_patch 访问。- 配置为使用文件会话存储后端时，Beaker 的会话存储会通过不安全的 pickle 加载造成远程代码。- 由于对资源 id 缺少长度检查而导致的潜在 DOS。- 信息泄露：具有创建资源权限的用户如果知道该 ID，则可以访问系统中的任何其他资源，即使他们没有该资源的访问权限。- 资源覆盖：具有创建资源权限的用户如果知道该 ID，则可以覆盖任何资源，即使他们没有该资源的访问权限。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Joomla! 实例版本是低于 4.3.2 的 4.2.x。因此，该主机受到多个漏洞的影响。

 - mfa 所选内容中存在开放重定向和跨站脚本 (XSS)。(CVE-2023-23754)

 - 缺少速率限制允许对 MFA 方法进行暴力破解攻击。(CVE-2023-23755)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 WordPress 应用程序会受到弱密码恢复机制的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 Joomla! 应用程序受到多个漏洞的影响：

- 创建管理员帐户

- 未经授权的密码更改

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 Joomla! 应用程序受到多个漏洞的影响：

- 可能允许攻击者执行本应受到限制之操作的安全绕过

- 攻击者可能会利用会话固定来劫持任意会话，并获取敏感信息的访问权限

- 攻击者可利用此问题获取敏感信息的信息泄露漏洞

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，检测到的 Joomla! 应用程序版本为低于1.5.13 的 1.5.x，且受到自动邮件超时绕过漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，检测到的 Joomla! 应用程序版本为 1.6.0，通过 filter_order 和 filer_order_Dir 参数，受到 SQL 注入的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 Joomla! 应用程序受到多个漏洞的影响：

- 不充分的错误检查导致信息泄露

- 弱加密导致的信息泄露

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

CA SiteMinder 是一个统一访问管理平台，提供单点登录功能和身份验证联合以进行顺畅的访问。CA SiteMinder WebAgent（此平台组件中的一个）受到通过某些`fcc` 端点的跨站脚本 (XSS) 漏洞的影响。通过构建 URL 中特定的负载，未经身份验证的远程攻击者可利用此漏洞，在目标受害者用户浏览器的执行环境中注入恶意 JavaScript。

Symfony 是依赖捆绑包的免费开源 PHP Web 应用程序框架，捆绑是允许开发人员挂钩 Symfony 的插件。Symfony 会提供调试模式，允许开发人员使用 Web 探查器和调试工具栏等其他工具来帮助进行应用程序故障排除：错误页面、探查器和 phpinfo 上暴露 PHP 环境配置的堆栈跟踪。未经身份验证的远程攻击者可利用这些信息，访问与当前应用程序请求和配置相关的敏感信息。

PaperCut NG/MF 是一个打印管理系统，旨在帮助组织监控和控制打印资源，同时向其最终用户提供易于使用的解决方案。20.1.7 以下的 PaperCut NG/MF 版本、低于 21.2.11 的 21.x 版和低于 22.0.9 的 22.x 版，均会受到 `SetupCompleted` 类中一个身份验证绕过漏洞的影响。未经身份验证的远程攻击者可利用此漏洞，以管理员身份登录，并在目标 PaperCut 实例上实现远程代码执行。

Sitecore CMS 版本 9.x/10.x 可能会受到错误路径访问检查漏洞的影响，未经身份验证的远程攻击者可利用此漏洞，读取 Webroot 目录内的任意文件

Adobe ColdFusion 版本 2021 以下的 Update 6 和 2018 版本以下的 Update 16 会受到一个反序列化漏洞的影响，可通过 `_cfclient` 请求中的 `JSONUtils.deserializeJSON` 方法实现。未经身份验证的远程攻击者可利用此漏洞，在目标 ColdFusion 实例上实现任意文件读取和远程代码执行。

Fortra GoAnywhere MFT 是一种 Managed File Transfer (MFT) 解决方案，可帮助组织构建内部和外部数据传输交换。7.1.2 之前的 GoAnyWhere MFT 版本会受到 LicenseResponse servlet 中反序列化漏洞的影响。通过构建特定的序列化对象，未经身份验证的远程攻击者可在易受攻击的系统上实现远程代码执行。

远程主机上安装的 Apache Tomcat 版本为 8.5.85 至 8.5.87 版、9.0.71 至 9.0.73 版、 10.1.5 至 10.1.7 版或 11.0.0-M2 至 11.0.0-M4。针对 CVE-2023-24998 的修复不完整。如果使用非默认 HTTP 连接器设置，以便使用查询字符串参数达到 maxParameterCount，并且提交的请求正好在查询字符串中提供 maxParameterCount 参数，则可能绕过对上传的请求部分的限制，并可能发生拒绝服务。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，检测到的 WordPress 应用程序会受到用户生成内容中短代码执行的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 WordPress 应用程序受到多个漏洞的影响：

 - 通过 wp_lang 造成的目录遍历。(CVE-2023-2745)

 - 通过 wp_ajax_set_attachment_thumbnail 造成的跨站请求伪造 (CSRF)。

 - 通过嵌入发现功能造成的经身份验证的存储型跨站脚本 (XSS)。

 - 对区块属性的审查不充分。

 - 用户生成的内容中存在短代码执行。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Advanced Custom Fields Pro Plugin 受到跨站脚本的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Advanced Custom Fields Plugin 受到跨站脚本的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
113956	CKAN < 2.8.12 共享会话密钥	high
113955	CKAN 2.10.x < 2.10.1 多个漏洞	critical
113954	CKAN < 2.9.9 多个漏洞	critical
113950	Joomla! 4.2.x < 4.3.2 多个漏洞	high
113949	WordPress < 4.4 弱密码恢复	high
113948	Joomla! < 2.5.4 多个漏洞	high
113947	Joomla! 1.5.x < 1.5.16 多个漏洞	critical
113946	Joomla! 1.5.x < 1.5.13 自动化邮件超时绕过	medium
113945	Joomla!1.6.0 SQL 注入	critical
113944	Joomla!1.7.1 多个漏洞	high
113938	CA SiteMinder WebAgent 跨站脚本	medium
113933	已启用 Symfony 调试模式	critical
113932	PaperCut NG/MF 身份验证绕过	critical
113905	Sitecore 未经身份验证的任意文件读取	medium
113903	Adobe ColdFusion ComponentFilter 远程代码执行	high
113896	Fortra GoAnywhere MFT < 7.1.2 远程代码执行	high
113942	Apache Tomcat 11.0.0-M2 < 11.0.0-M5 拒绝服务	high
113941	Apache Tomcat 8.5.85 < 8.5.88 拒绝服务	high
113940	Apache Tomcat 9.0.71 < 9.0.74 拒绝服务	high
113939	Apache Tomcat 10.1.5 < 10.1.8 拒绝服务	high
113937	WordPress 6.2.x < 6.2.2 短代码执行	medium
113936	WordPress 6.1.x < 6.1.3 短代码执行	medium
113935	WordPress 6.0.x < 6.0.5 短代码执行	medium
113934	WordPress 5.9.x < 5.9.7 短代码执行	medium
113931	WordPress 6.2.x < 6.2.1 多个漏洞	medium
113930	WordPress 6.1.x < 6.1.2 多个漏洞	medium
113929	WordPress 6.0.x < 6.0.4 多个漏洞	medium
113928	WordPress 5.9.x < 5.9.6 多个漏洞	medium
113927	WordPress 5.8.x < 5.8.7 多个漏洞	medium
113926	WordPress 5.7.x < 5.7.9 多个漏洞	medium
113925	WordPress 5.6.x < 5.6.11 多个漏洞	medium
113924	WordPress 5.5.x < 5.5.12 多个漏洞	medium
113923	WordPress 5.4.x < 5.4.13 多个漏洞	medium
113922	WordPress 5.3.x < 5.3.15 多个漏洞	medium
113921	WordPress 5.2.x < 5.2.18 多个漏洞	medium
113920	WordPress 5.1.x < 5.1.16 多个漏洞	medium
113919	WordPress 5.0.x < 5.0.19 多个漏洞	medium
113918	WordPress 4.9.x < 4.9.23 多个漏洞	medium
113917	WordPress 4.8.x < 4.8.22 多个漏洞	medium
113916	WordPress 4.7.x < 4.7.26 多个漏洞	medium
113915	WordPress 4.6.x < 4.6.26 多个漏洞	medium
113914	WordPress 4.5.x < 4.5.29 多个漏洞	medium
113913	WordPress 4.4.x < 4.4.30 多个漏洞	medium
113912	WordPress 4.3.x < 4.3.31 多个漏洞	medium
113911	WordPress 4.2.x < 4.2.35 多个漏洞	medium
113910	WordPress 4.1.x < 4.1.38 多个漏洞	medium
113909	Advanced Custom Fields Pro for WordPress < 5.12.6 跨站脚本	medium
113908	Advanced Custom Fields Pro for WordPress 6.0.x < 6.1.6 跨站脚本	medium
113907	Advanced Custom Fields for WordPress < 5.12.6 跨站脚本	medium
113906	Advanced Custom Fields for WordPress 6.0.x < 6.1.6 跨站脚本	medium

检测

Web App Scanning 的 Component Vulnerability 系列

high

critical

critical

high

high

high

critical

medium

critical

high

medium

critical

critical

medium

high

high

high

high

high

high

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium