根据其自我报告的版本号，检测到的 WordPress 应用程序受到多个漏洞的影响：

 - 通过 wp-mail.php（通过电子邮件发布）实现的存储型跨站脚本 (XSS)。

 - wp_nonce_ays 中存在开放重定向。

 - 发送者的电子邮件地址已在 wp-mail.php 中泄露。

 - 媒体库中会发生利用 SQL 注入的跨站脚本 (XSS)。

 - wp-trackback.php 中存在跨站请求伪造 (CSRF)。

 - 通过定制器实现的存储型跨站脚本 (XSS)。

 - WordPress Core 中通过注释编辑导致的存储型跨站脚本 (XSS)。

 - 存在通过 REST 术语/标签端点造成的数据泄露问题。

 - 多部分电子邮件中的内容泄露。

 - 由于 WP_Date_Query 中的不当审查导致的 SQL 注入。

 - RSS 小工具中存在存储型跨站脚本 (XSS)。

 - “搜索”区块中存在存储型跨站脚本 (XSS)。

 - 功能图像区块中存在一个跨站脚本 (XSS)。

 - RSS 区块中存在存储型跨站脚本 (XSS)。

 - 小工具区块中存在跨站脚本 (XSS)。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上安装的 PHP 为低于 7.4.32 的 7.4.x 版、低于 8.0.24 的 8.0.x 版或低于 8.1.11 的 8.1.x 版。因此，该应用程序受到多个漏洞影响：

 - phar 解压缩代码会以递归方式解压缩 quines gzip 文件，从而导致无限循环。(CVE-2022-31628)

 - 网络和同站攻击者可利用此漏洞在受害者的浏览器中设置标准的不安全 Cookie，而 PHP 应用程序会将其视为 `__Host-` 或 `__Secure-` Cookie。(CVE-2022-31629)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上运行的 Atlassian Bitbucket 应用程序受到关键命令注入漏洞的影响。对公开 Bitbucket 存储库或私有存储库具有未经验证的访问权限的远程攻击者，均可发送恶意 HTTP 请求，导致任意代码执行。

远程主机上安装的 WordPress Photo Gallery Plugin 会受到存储型跨站脚本 (XSS) 的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Smush Plugin 会受到反射型跨站脚本 (XSS) 的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Tabs Responsive Plugin 会受到存储型跨站脚本 (XSS) 的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Form Maker by 10Web Plugin 会受到存储型跨站脚本 (XSS) 的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Bold Page Builder Plugin 会受到存储型跨站脚本 (XSS) 的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Download Manager Plugin 会受到反射型跨站脚本 (XSS) 的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WPS Hide Login Plugin 会受到保护绕过漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 web 服务器上运行的 Drupal 实例为低于 9.3.22 的 9.3.x 版本，或低于 9.4.7 的 9.4.x 版本。Drupal 会使用 Twig 第三方库进行内容模板制作和审查。如果不受信任的用户有权写入 Twig 代码，则可能出现多个漏洞，包括对私人文件、服务器上其他文件的内容或数据库凭据进行未经授权的读取访问。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为 8.5.x 至 8.5.77、9.0.0-M1 至 9.0.60、10.0.0-M1 至 10.0.18 或 10.1.0-M1 至 10.1.0-M12。因此，该应用程序受到信息泄露漏洞的影响。Tomcat 10 中引入并向后移植到 Tomcat 9.0.47 之后版本的对于阻止读取和写入的简化实现暴露出一个长期存在（但极难触发）的并发缺陷，该缺陷可导致客户端连接共享 Http11Processor 实例，从而造成由错误客户端接收的响应或部分响应。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

服务器实例上具有 ACL 的 Apache Spark UI < 3.0.3 版、3.1.1 < 3.1.2 会对随后在权限检查中使用的参数执行不充分的审查，可能允许攻击者以 Spark 用户的权限注入任意 shell 命令。

远程主机上安装的 WordPress BackupBuddy Plugin 受到任意文件读取漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Joomla! 实例版本是低于 4.2.0 的版本。由于 4.2.0 中的更改 PSR12 导致缺少“_JEXEC or die check”，从而造成多个完整路径泄露漏洞。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 WordPress 应用程序受到多个漏洞的影响：

 - Link API 内存在一个 SQL 注入漏洞。

 - Plugins 屏幕中存在一个跨站脚本 (XSS) 漏洞。

 - the_meta() 内存在输出转义问题。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
113411	WordPress 5.2.x < 5.2.17 多个漏洞	medium
113410	WordPress 5.1.x < 5.1.15 多个漏洞	medium
113409	WordPress 5.0.x < 5.0.18 多个漏洞	medium
113408	WordPress 4.9.x < 4.9.22 多个漏洞	medium
113407	WordPress 4.8.x < 4.8.21 多个漏洞	medium
113406	WordPress 4.7.x < 4.7.25 多个漏洞	medium
113405	WordPress 4.6.x < 4.6.25 多个漏洞	medium
113404	WordPress 4.5.x < 4.5.28 多个漏洞	medium
113403	WordPress 4.4.x < 4.4.29 多个漏洞	medium
113402	WordPress 4.3.x < 4.3.30 多个漏洞	medium
113401	WordPress 4.2.x < 4.2.34 多个漏洞	medium
113400	WordPress 4.1.x < 4.1.37 多个漏洞	medium
113399	WordPress 4.0.x < 4.0.37 多个漏洞	medium
113398	WordPress 3.9.x < 3.9.38 多个漏洞	medium
113397	WordPress 3.8.x < 3.8.40 多个漏洞	medium
113396	WordPress 3.7.x < 3.7.40 多个漏洞	medium
113390	PHP 7.4.x < 7.4.32 多个漏洞	medium
113389	PHP 8.0.x < 8.0.24 多个漏洞	medium
113388	PHP 8.1.x < 8.1.11 多个漏洞	medium
113373	Atlassian Bitbucket 远程代码执行	high
113387	Photo Gallery Plugin for WordPress < 1.6.4 跨站脚本	medium
113386	Smush Plugin for WordPress < 3.9.9 跨站脚本	medium
113385	Tabs Responsive Plugin for WordPress < 2.2.8 跨站脚本	medium
113384	Form Maker by 10Web Plugin for WordPress < 1.14.12 跨站脚本	medium
113383	Bold Page Builder Plugin for WordPress < 4.3.3 跨站脚本	medium
113382	Download Manager Plugin for WordPress < 3.2.44 跨站脚本	medium
113381	WPS Hide Login Plugin for WordPress < 1.9.1 保护绕过	high
113380	Drupal 9.3.x< 9.3.22 第三方库漏洞	high
113379	Drupal 9.4.x< 9.4.7 第三方库漏洞	high
113378	Apache Tomcat 8.5.x < 8.5.78 信息泄露	low
113377	Apache Tomcat 9.0.0-M1 < 9.0.62 信息泄露	low
113376	Apache Tomcat 10.0.0-M1 < 10.0.20 信息泄露	low
113375	Apache Tomcat 10.1.0-M1 < 10.1.0-M14 信息泄露	low
113343	Apache Spark < 3.0.3/3.1.1 < 3.1.2 远程命令注入	high
113369	BackupBuddy Plugin for WordPress < 8.7.5 任意文件读取	high
113368	Joomla!4.2.0 多个完整路径泄露	medium
113367	WordPress 6.0.x < 6.0.2 多个漏洞	medium
113366	WordPress 5.9.x < 5.9.4 多个漏洞	medium
113365	WordPress 5.8.x < 5.8.5 多个漏洞	medium
113364	WordPress 5.7.x < 5.7.7 多个漏洞	medium
113363	WordPress 5.6.x < 5.6.9 多个漏洞	medium
113362	WordPress 5.5.x < 5.5.10 多个漏洞	medium
113361	WordPress 5.4.x < 5.4.11 多个漏洞	medium
113360	WordPress 5.3.x < 5.3.13 多个漏洞	medium
113359	WordPress 5.2.x < 5.2.16 多个漏洞	medium
113358	WordPress 5.1.x < 5.1.14 多个漏洞	medium
113357	WordPress 5.0.x < 5.0.17 多个漏洞	medium
113356	WordPress 4.9.x < 4.9.21 多个漏洞	medium
113355	WordPress 4.8.x < 4.8.20 多个漏洞	medium
113354	WordPress 4.7.x < 4.7.24 多个漏洞	medium

检测

Web App Scanning 的 Component Vulnerability 系列

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

high

medium

medium

medium

medium

medium

medium

high

high

high

low

low

low

low

high

high

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium