根据应用程序自我报告的版本号，远程主机上安装的 Grafana 为低于 12.0.9 的版本、或为低于 12.1.6 的 12.1.x 版、低于 12.2.4 的 12.2.x 版或低于12.3.3 的 12.3.x 版。因此，它受到跨租户遗留相关性披露和删除漏洞的影响。

- 由于向后兼容条件允许跨组织返回org_id = 0条记录，拥有数据源管理权限的用户可以读取并永久删除属于其他组织的遗留相关数据。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据应用程序自我报告的版本号，远程主机上安装的 Grafana 为低于 11.6.14 的版本、或为低于 12.1.10 的 12.1.x 版、低于 12.2.8 的 12.2.x 版或低于12.3.6 的 12.3.x 版。因此，它受到了缺失的保护场授权漏洞的影响。

- 在 Grafana OSS 中发现了一个漏洞，在 provisioning contact points API 中的授权绕过允许拥有编辑器角色的用户无需警报即可修改受保护的 webhook URL。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自报告版本，Grafana安装在远程主机上，位于11.6.14之前，或12.1.x之前12.1.10，或12.3.612.4.212.2.x12.2.812.3.x12.4.x之前。因此，该软件受到多个漏洞的影响。

- Grafana 的 SQL 表达式功能支持用熟悉的 SQL 语法转换查询数据。该功能中的一个漏洞允许任意文件写入，从而实现远程代码的执行。

- Grafana 的 OpenFeature 功能标志验证端点无需认证，接受无界用户输入，导致未认证的拒绝服务。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其服务器响应标头，安装的 nginx 为低于 1.28.3 的版本，或是低于 1.29.7 的 1.29.x 版。因此，该应用程序受到以下问题的影响：

 - ngx_http_dav_module模块中的一个漏洞，可能允许攻击者触发 NGINX 工作进程的缓冲区溢出。（CVE-2026-27654）

 - ngx_http_mp4_module模块中的漏洞，可能允许攻击者对 NGINX 工作者内存进行过度读取或覆写，导致其终止。（CVE-2026-27784）

 - ngx_http_mp4_module模块中的一个漏洞，可能允许攻击者通过专门制作的MP4文件触发缓冲区对NGINX工作者内存的重读或覆盖，导致其终止或代码执行。（CVE-2026-32647）

 - 当ngx_mail_auth_http_module模块在NGINX Plus或NGINX开源上被启用时，未披露的请求可能导致工作进程终止。（CVE-2026-27651）

 - NGINX Plus 和 NGINX 开源在 ngx_mail_smtp_module 模块中存在漏洞，原因是 DNS 响应中 CRLF 序列处理不当。（CVE-2026-28753）

 - ngx_stream_ssl_module模块存在漏洞，由于在指令上ssl_verify_client开启并ssl_ocsp时，TLS握手仍能成功，尽管OCSP检查确认证书已撤销。（CVE-2026-28755）

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 WordPress 应用程序受到多个漏洞的影响：

 - 盲目的服务器端请求伪造（SSRF）

 - HTML API 和块注册表中的 PoP 链弱点

 - 数字字符引用中的正则表达式拒绝服务（DoS）弱点

 - 导航菜单中存储的跨站脚本（XSS）

 - AJAX查询附件授权绕过

 - 通过data-wp-bind指令存储的跨站脚本（XSS）

 - 跨站脚本（XSS），允许在管理区覆盖客户端模板

 - PclZip路径穿越问题

 - Notes功能的授权绕过

 - 外部 getID3 库中的 XML 外部实体（XXE）问题

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自报告的版本号，运行在远程主机上的 CKEditor 应用程序位于 5.40.x5.41.3.2 之前或 5.43.1.x 之前 5.43.1.1。因此，它受到CKEditor 5剪贴板包中跨站脚本（XSS）漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自报版本号，运行在远程主机上的 CKEditor 应用程序早于 5.44.2.x5.44.2.1。因此，它受到了CKEditor 5实时协作包中跨站脚本（XSS）漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自报告的版本号，运行在远程主机上的 CKEditor 应用程序位于 5.44.2.x5.45.2.2 之前或 5.46.0.2 之前 5.46.0.3。因此，它受到CKEditor 5剪贴板包中跨站脚本（XSS）漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 CKEditor 应用程序版本为低于 47.6.0 的版本。因此，它受到了通用HTML支持功能中的跨站脚本（XSS）漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

低于版本 2.3.3 的 Nginx UI 包含严重的敏感信息泄露漏洞，导致未经过身份验证的攻击者可以访问 /api/backup 端点，并从 X-Backup-Security 响应标头检索加密密钥。攻击者可利用此缺陷下载和解密完整系统备份，泄露用户凭据、会话标记、SSL 私钥和 Nginx 配置等敏感数据。

版本 2026.1 之前的 SolarWinds WHD 包含严重的身份验证绕过漏洞，导致未经过身份验证的攻击者可以获得未经授权的系统访问权限，这可能造成数据外泄和系统受损。

远程主机上安装的 SolarWinds WHD 版本受到多个漏洞的影响：

 - 安全控制绕过漏洞，未经身份验证的攻击者可借此获取特定受限制功能的访问权限 (CVE-2025-40536)

 - 未经身份验证注入 JNDI 漏洞，未经身份验证的远程攻击者可借此通过 Apache Xalan JNDIConnectionPool 类利用 JNDI 注入，进而实现远程代码执行 (CVE-2025-40551)

 - 身份验证绕过漏洞，未经身份验证的远程攻击者可借此执行受保护的操作，而无需进行身份验证 (CVE-2025-40552)

 - 身份验证绕过漏洞，未经身份验证的远程攻击者可借此访问特权管理功能 (CVE-2025-40554)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为 9.0.113 之前的 9.0.0-M1、10.1.0-M1 之前的 10.1.50、11.0.0-M1 之前的 11.0.15。因此，该服务器受到多个漏洞的影响：

 - 如果安全约束配置为允许HEAD请求到某个URI，但拒绝GET请求，用户可以通过发送（规范无效的）HTTP/0.9请求来绕过该限制。（CVE-2026-24733）

 - 如果Tomcat配置了多个虚拟主机，且其中一台主机的TLS配置不需要客户端证书认证，而另一台需要，客户端可以通过在SNI扩展和HTTP主机头字段中发送不同的主机名来绕过客户端证书认证。（CVE-2025-66614）

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

安装在远程主机上的Apache Tomcat版本早于9.0.8310.1.0-M710.1.52，或11.0.0-M1之前11.0.18。9.0.115 因此，它受到不完整的OCSP验证检查的影响。在使用 OCSP 响应器时，Tomcat 与 OpenSSL 的 FFM 集成未能完成对 OCSP 响应的验证或新鲜度检查，可能导致证书撤销被绕过。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

根据其服务器响应头，nginx 的安装版本是从 1.3.0 到 1.29.4。因此，当配置为代理到上游传输层安全（TLS）服务器时，会受到漏洞的影响。在上游服务器端处于中间人（MITM）位置的攻击者，以及攻击者无法控制的条件，可能能够将纯文本数据注入上游代理服务器的响应中。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Mura CMS 10.0.580 之前的版本受到可通过特别伪造的请求触发的身份验证绕过漏洞影响。

根据应用程序自我报告的版本号，Roundcube Webmail 的版本低于 1.5.10，或介于 1.6.x 和 1.6.11 之间。因此，由于 URL 中的 _from 参数未在 program/actions/settings/upload.php 中验证，可能导致 PHP 对象反序列化（Value Done Online）CVE-2025-49113。）

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据应用程序自我报告的版本号，Roundcube Webmail 的版本低于 1.5.12，或介于 1.6.x 和 1.6.12 之间。因而可能会受到多个漏洞的影响：

 - HTML风格的洗涤器中的信息披露漏洞。

 - 通过 SVG 文档中的 animate 标签存在跨站脚本（XSS）漏洞。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自报版本号，检测到的 OpenCMS 应用受到任意文件上传漏洞的影响：

- Alkacon OpenCMS v15.0 组件 /workplace#！explorer 中的任意文件上传漏洞允许攻击者通过上传精心制作的 PNG 文件执行任意代码。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 OpenCMS 应用程序受到多个漏洞的影响：

- 由于没有对“URI”参数进行适当的净化，导致开放重定向漏洞。

- “Mercury”模板中的跨站脚本（XSS）漏洞。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 OpenCMS 应用程序受到多个漏洞的影响：

- 跨站脚本，允许拥有画廊编辑或VFS资源管理器角色的用户上传包含JavaScript代码的.svg格式图片。

- 跨站脚本，允许拥有足够权限的用户通过管理面板创建和修改网页，在“title”字段插入代码后执行恶意JavaScript代码。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自报版本号，检测到的 OpenCMS 应用受到多个跨站脚本（XSS）漏洞的影响：

- 跨站脚本漏洞允许远程攻击者通过图像字段中的图片标题子字段注入JavaScript有效载荷。

- 存储跨站脚本（XSS）漏洞允许攻击者通过注入作者参数的精心设计的负载执行任意网页脚本或HTML。

- 存储跨站脚本（XSS）漏洞允许攻击者通过注入图像参数的精心设计负载执行任意网页脚本或 HTML。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

低于 12.8.0.0 的 Ivanti Endpoint Manager Mobile (EPMM) 版本受到一个漏洞的影响，该漏洞允许未经身份验证的远程攻击者通过特别构建的请求在受影响的系统上执行任意代码。

Versa Concerto 版本11.4.x12.1.2之前受到认证绕过漏洞的影响。未认证的远程攻击者可以利用该漏洞，未经授权访问内部执行器端点。

Vite 版本4.5.11在 、 6.0.135.4.165.0.x6.1.x6.1.36.0.x6.2.x 之前或之前 6.2.4 受到一个漏洞影响，该漏洞允许未经认证的远程攻击者在应用向网络暴露 Vite 开发服务器时读取受影响主机上的任意文件。

低于 build 9413 的 SmarterMail 版本受到不受限制的文件上传漏洞影响。未经身份验证的攻击者可利用此问题将任意文件上传到服务器，从而导致远程代码执行。

Zimbra Collaboration 10.0.18 和 10.1.13 之前的版本在 Webmail Classic UI 中容易受到本地文件包含 (LFI) 漏洞影响，这是未正确处理用户在 RestFilter servlet 中提供的请求参数所致。未经身份验证的远程攻击者可通过构建针对 /h/rest 端点的请求来利用此漏洞，从而导致包含 WebRoot 目录中的任意文件。

Livewire 是适用于 Laravel 的全堆栈框架，可简化动态界面构建过程，同时让您无需离开 Laravel 环境。

3.6.4 之前的 Livewire 版本中存在一个远程代码执行漏洞，这是在组件 Hydration 进程中不当处理序列化数据所致。攻击者可通过向服务器发送包含恶意序列化数据的特制请求来利用此漏洞。随后，系统会反序列化并执行此请求，从而允许攻击者在服务器上执行任意代码。

注意: 根据识别到的 Livewire 版本，如果该插件使用版本 3.6.3 (有漏洞) 或 3.6.4 (已修补)，则表示该网站**可能**存在漏洞。

JetBrains TeamCity 是一个持续集成和构建管理系统，如果启用了该功能，允许访客访问。如果启用访客登录，攻击者可以在无认证的情况下访问TeamCity服务器，可能导致敏感信息和系统功能被未经授权访问。

ID	名称	严重性
115186	Grafana < 12.0.9 不当授权	low
115185	Grafana 12.3.x < 12.3.6 不当授权	medium
115184	Grafana 12.2.x < 12.2.8 不当授权	medium
115183	Grafana 12.1.x < 12.1.10 不当授权	medium
115182	Grafana < 11.6.14 不当授权	medium
115181	Grafana <12.4.x12.4.2多重漏洞	critical
115180	Grafana <12.3.x12.3.6多重漏洞	critical
115179	Grafana <12.2.x12.2.8多重漏洞	critical
115178	Grafana <12.1.x12.1.10多重漏洞	critical
115177	Grafana < 11.6.14 多重漏洞	critical
115174	Nginx < 1.28.3 多个漏洞	high
115173	Nginx 1.29.x < 1.29.7 多个漏洞	high
115170	WordPress 6.4.x < 6.4.8 多个漏洞	medium
115169	WordPress 6.5.x < 6.5.8 多个漏洞	medium
115168	WordPress 6.6.x < 6.6.5 多个漏洞	medium
115167	WordPress 6.7.x < 6.7.5 多个漏洞	medium
115166	WordPress 6.8.x < 6.8.5 多个漏洞	medium
115165	WordPress 6.9.x < 6.9.2 多个漏洞	medium
115164	CKEditor < 43.1.1 跨站脚本	medium
115163	CKEditor 5.40.0.x < 5.41.3.2 跨站脚本	medium
115162	CKEditor 5.42.0.x < 5.44.2.1 跨站脚本	low
115161	CKEditor 5.46.0.2 < 5.46.0.3 跨站脚本	low
115160	CKEditor 5.44.2.x < 5.45.2.2 跨站脚本	low
115159	CKEditor < 47.6.0 跨站脚本	medium
115158	Nginx UI < 2.3.3 敏感信息泄露	critical
115157	SolarWinds WHD < 2026.1 身份验证绕过	critical
115156	SolarWinds WHD < 2026.1 多个漏洞	critical
115154	Apache Tomcat 9.0.0-M1 < 9.0.113 多个漏洞	medium
115153	Apache Tomcat 10.1.0-M1 < 10.1.50 多个漏洞	medium
115152	Apache Tomcat 11.0.0-M1 < 11.0.15 多个漏洞	medium
115151	Apache Tomcat 9.0.83 < 9.0.115 不完整的 OCSP 验证检查	high
115150	Apache Tomcat 10.1.0-M7 < 10.1.52 不完整的 OCSP 验证检查	high
115149	Apache Tomcat 11.0.0-M1 < 11.0.18 不完整的 OCSP 验证检查	high
115141	Nginx 1.3.0 < 1.29.5 SSL 上游注入	high
115140	Mura CMS < 10.0.580 身份验证绕过	critical
115139	Roundcube Webmail 1.6.x < 1.6.11 远程代码执行	high
115138	Roundcube Webmail < 1.5.10 远程代码执行	high
115137	Roundcube Webmail 1.6.x < 1.6.12 多个漏洞	high
115136	Roundcube 网页邮件< 1.5.12 多重漏洞	high
115135	OpenCMS <= 15.0 任意文件上传	medium
115134	OpenCMS 14.0.0 < 16.0.0 多重漏洞	medium
115133	OpenCMS < 17.0.0 多个漏洞	medium
115132	OpenCMS <= 18.0.0 多站跨站脚本	medium
115128	Ivanti Endpoint Manager Mobile < 12.8.0.0 远程代码执行	critical
115121	Versa 协奏曲 11.4.x < 12.1.2 认证绕过	critical
115120	获取< 4.5.11 / 5.0.x < 5.4.16 / 6.0.x < 6.0.13 / 6.1.x < 6.1.3 / 6.2.x < 6.2.4 任意文件读取	medium
115117	SmarterMail < build 9413 不受限制的文件上传	critical
115122	Zimbra Collaboration 10.0.x < 10.0.18 / 10.1.x < 10.1.13 本地文件包含	high
115113	Livewire 3.x < 3.6.4 远程代码执行	critical
115110	JetBrains TeamCity 访客访问检测到	medium

检测

Web App Scanning 的 Component Vulnerability 系列

low

medium

medium

medium

medium

critical

critical

critical

critical

critical

high

high

medium

medium

medium

medium

medium

medium

medium

medium

low

low

low

medium

critical

critical

critical

medium

medium

medium

high

high

high

high

critical

high

high

high

high

medium

medium

medium

medium

critical

critical

medium

critical

high

critical

medium