远程主机上安装的 WordPress WP eCommerce Plugin 会受到 SQL 注入的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WP-Print Plugin 受到跨站请求伪造的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WP Photo Album Plus Plugin 会受到多个跨站脚本的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WP EasyCart Plugin 会受到无限制文件上传的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WP Go Maps Plugin 会受到跨站脚本的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Auth0 Plugin 会受到多个存储型跨站脚本和跨站请求伪造的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WP Data Access Plugin 会受到 SQL 注入的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WP Visitor Statistics Plugin 会受到 SQL 注入的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WP DBManager Plugin 会受到代码注入和操作系统命令注入的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WP DBManager Plugin 会受到代码注入的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Affiliates Manager Plugin 会受到跨站脚本和 CSV 注入的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WP Maintenance Plugin 会受到存储型跨站脚本的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WP-Pools Plugin 会受到争用情形的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Wordfence Security Plugin 会受到存储型跨站脚本的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Yoast SEO Plugin 会受到多个跨站请求伪造和多个 SQL 注入的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程 Web 服务器上安装的 phpMyAdmin 为低于 4.9.10 的 4.9.x 版或低于 5.1.3 的 5.1.x 版。因而会受到一个信息泄露的影响，该漏洞会揭示 phpMyAdmin 在其中运行的磁盘路径。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

wp-cron.php 文件负责 WordPress 网站中的计划事件。默认情况下，当提出请求时，WordPress 会通过该请求生成对 wp-cron.php 文件的额外请求。通过向网站生成大量请求，可以使该站点针对自身执行 DoS 攻击。

根据其标题，远程主机上运行的 lighttpd 版本低于 1.4.54。因而受到带符号整数溢出的影响，这可能允许远程攻击者造成拒绝服务。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 lighttpd 版本为 1.4.56、1.4.57 或 1.4.58。因而会受到拒绝服务的影响，原因是 connections.c 中的 connection_read_header_more 有拼写错误，中断了对大型标头的多种读取操作的使用。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，Lodash 的版本为 4.17.5 之前的版本。因而受到函数 merge、mergeWith 和 defaultsDeep 中原型污染漏洞的影响，攻击者可利用构造函数负载诱骗其添加或修改 Object.prototype 的属性。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，Lodash 的版本为 4.17.11 之前的版本。因而受到函数 merge、mergeWith 和 defaultsDeep 中原型污染漏洞的影响，攻击者可利用构造函数负载诱骗其添加或修改 Object.prototype 的属性。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

版本 9.1 < 10.0.3 中的 GLPI 可通过 REST API 上的“user_token”参数实现未经验证的 SQL 注入。攻击者可利用此注入模拟任意用户登录。

已启用 API Rest 的版本 9.1 < 9.5.6 中的 GLPI 容易受到因自定义标头注入导致的 API 绕过的影响。

扫描程序通过在其登录表单上使用可预测的凭据，成功地在 GLPI web 应用程序上进行了身份验证。

版本 < 9.3.4 中的 GLPI 可通过“unlock_tasks.php”页面上的“cycle”参数实现未经身份验证的 SQL 注入。

根据其自我报告的版本号，远程主机上运行的 Atlassian Crowd 应用程序会受到错误配置漏洞的影响。此漏洞允许攻击者通过安全错误配置和后续在 Crowd 的 REST API 中调用特权端点的能力，认证为 crowd 应用程序。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Bitbucket 应用程序受到命令注入漏洞影响。有权控制其用户名的远程攻击者可利用此问题在系统上执行任意代码。如果 Bitbucket Server 和数据中心实例已启用“允许公共注册”，则此漏洞可未经身份验证。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

在低于 1.2.9 的版本中，HTMLawed 模块中的 htmLawedTest.php 允许 PHP 代码注入。

Sitecore CMS 版本 6.6.3 至 XP 版本 8.2.7 以及低于 9.1.1 的 XP 版本 9.x 会受到一个反序列化漏洞的影响，可通过 CSRF 管理库实现。通过在 `CreateNewUser.aspx` 端点上构建特定的 HTTP 请求，远程攻击者可在目标 Sitecore 实例上实现远程代码执行。

请注意，低于 8.2.7 的版本无需身份验证即可利用 (CVE-2019-9874)，而版本 9.x < 9.1.1 则需要经过身份验证 (CVE-2019-9875)。

WordPress 的核心功能和插件允许内容管理员通过将文章发送到配置的电子邮件地址来在其博客中发布帖子。扫描程序已检测到目标 WordPress 实例配置了核心功能或特定插件。

Apache Commons Text 执行变量插值，允许动态评估和扩展属性。插值的标准格式为“${prefix: name}”，其中“prefix”用于定位执行插值的 org.apache.commons.text.lookup.StringLookup 的实例。从版本 1.5 到版本 1.9，默认查找实例集包含可导致任意代码执行或与远程服务器联系的插值器。

根据其自我报告的版本，远程 Web 服务器上运行的 Joomla! 实例版本是低于 4.2.5 的 4.x。因而受到跨站脚本 (XSS) 的影响，这是由于未充分筛选 com_media 中的潜在恶意用户输入所致。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上安装的 PHP 为低于 7.4.33 的 7.4.x 版、低于 8.0.25 的 8.0.x 版或低于 8.1.12 的 8.1.x 版。因此，该应用程序受到多个漏洞影响：

 - 由于 imageloadfont() 中的输入验证不充分而导致 OOB 读取 (CVE-2022-31630)

 - hash_update() 中长参数上的缓冲区溢出。(CVE-2022-37454)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Movable Type < 6.8.7/7.x < 7.8.5 过向 XMLRPC API 发送特制的 POST 请求，以包含操作系统命令注入漏洞。

Movable Type < 6.8.3/7.x < 7.8.2 过向 XMLRPC API 发送特制的 POST 请求，以包含操作系统命令注入漏洞。

TYPO3 CMS v6.2.0-6.2.56、7.0.0-7.6.50、8.0.0-8.7.39、9.0.0-9.5.24、10.0.0-10.4.13、11.0.0-11.1.0 均容易受到登录处理中的开放重定向影响，这是由于未正确验证 HTTP 主机标头所致。

ID	名称	严重性
113475	WP eCommerce Plugin for WordPress < 3.8.7.6 SQL 注入	critical
113474	WP-Print Plugin for WordPress < 2.52 跨站请求伪造	high
113473	WP Photo Album Plus Plugin for WordPress < 6.1.3 多个跨站脚本	medium
113472	WP EasyCart Plugin for WordPress < 3.0.9 无限制文件上传	high
113471	WP Go Maps Plugin for WordPress < 7.10.43 跨站脚本	medium
113470	Auth0 Plugin for WordPress < 4.0.0 多个漏洞	high
113469	WP Data Access Plugin for WordPress < 5.0.0 SQL 注入	critical
113468	WP Visitor Statistics Plugin for WordPress < 5.6 SQL 注入	high
113467	WP DBManager Plugin for WordPress < 2.7.2 多个漏洞	high
113466	WP DBManager Plugin for WordPress < 2.80.8 代码注入	high
113465	Affiliates Manager Plugin for WordPress < 2.9.14 多个漏洞	high
113464	WP Maintenance Plugin for WordPress < 6.0.8 存储型跨站脚本	medium
113463	WP Maintenance Plugin for WordPress < 6.0.6 存储型跨站脚本	medium
113462	WP-Polls Plugin for WordPress < 2.77.0 存储型跨站脚本	low
113461	Wordfence Security Plugin for WordPress < 7.6.0 存储型跨站脚本	medium
113460	Yoast SEO Plugin for WordPress 1.7.x < 1.7.4 多个漏洞	critical
113459	Yoast SEO Plugin for WordPress 1.6.x < 1.6.4 多个漏洞	critical
113458	Yoast SEO Plugin for WordPress < 1.5.7 多个漏洞	critical
113457	phpMyAdmin 4.9.x < 4.9.10 信息泄露漏洞	high
113456	phpMyAdmin 5.1.x < 5.1.3 信息泄露漏洞	high
113449	已启用 WordPress Cron	medium
113454	lighttpd < 1.4.54 整数溢出	critical
113453	lighttpd 1.4.56 < 1.4.59 拒绝服务	high
113451	Lodash < 4.17.5 原型污染	medium
113450	Lodash < 4.17.11 原型污染	medium
113438	GLPI 9.1 < 10.0.3 SQL 注入	critical
113437	GLPI 9.1 < 9.5.6 Rest API IP 限制绕过	high
113436	GLPI 默认凭据	high
113435	GLPI < 9.3.4 SQL 注入	critical
113447	Atlassian Crowd 5.0.x < 5.0.3 错误配置	critical
113446	Atlassian Bitbucket 8.4.x < 8.4.2 命令注入	critical
113445	Atlassian Bitbucket 8.3.x < 8.3.3 命令注入	critical
113444	Atlassian Bitbucket 8.2.x < 8.2.4 命令注入	critical
113443	Atlassian Bitbucket 8.1.x < 8.1.5 命令注入	critical
113442	Atlassian Bitbucket 8.0.x < 8.0.5 命令注入	critical
113441	Atlassian Bitbucket 7.18.x < 7.21.6 命令注入	critical
113440	Atlassian Bitbucket 7.7.x < 7.17.12 命令注入	critical
113439	Atlassian Bitbucket < 7.6.19 命令注入	critical
113434	Atlassian Crowd < 4.4.4 错误配置	critical
113432	HTMLawed < 1.2.9 命令注入	critical
113431	Sitecore CMS/XP CSRF 远程代码执行	critical
113428	已启用 WordPress Post By Email	info
113427	Apache Commons Text 远程代码执行 (Text4Shell)	critical
113429	Joomla! 4.x < 4.2.5 跨站脚本	medium
113426	PHP 7.4.x < 7.4.33 多个漏洞	critical
113425	PHP 8.0.x < 8.0.25 多个漏洞	critical
113424	PHP 8.1.x < 8.1.12 多个漏洞	critical
113395	Movable Type < 6.8.7/7.x < 7.8.5 远程命令注入	critical
113394	Movable Type < 6.8.3/7.x < 7.8.2 远程命令注入	critical
113391	登录处理中存在 TYPO3 开放重定向	medium

检测

Web App Scanning 的 Component Vulnerability 系列

critical

high

medium

high

medium

high

critical

high

high

high

high

medium

medium

low

medium

critical

critical

critical

high

high

medium

critical

high

medium

medium

critical

high

high

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

info

critical

medium

critical

critical

critical

critical

critical

medium