远程 Web 服务器上安装的 phpMyAdmin 为低于 4.9.6 的 4.9.x 版或低于 5.0.3 的 5.0.x 版。因此，该主机受到多个漏洞的影响。
 - 它可能允许攻击者构建恶意链接，当用户点击链接时即可触发跨站脚本攻击 (XSS)。
 - 它可能允许攻击者构建恶意搜索请求，从而导致 SearchController 组件中产生 SQL 注入漏洞。请注意，扫描程序并未针对这些问题进行测试，而仅依据应用程序自我报告的版本号作出判断。

远程 Web 服务器上安装的 phpMyAdmin 为低于 4.9.5 的 4.9.x 版或低于 5.0.2 的 5.0.x 版。因此，该主机受到多个漏洞的影响。
 - 恶意用户可能会创建特制用户名，从而执行 SQL 注入攻击。
 - 恶意用户可能会创建特制的数据库或表格名称，当用户随后对所创建的表格执行某些搜索操作时，可导致 SQL 注入攻击。
 - 攻击者或可在某些数据库表中插入构建的数据，当用户检索这些数据时即可触发 XSS 攻击。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

在用户帐户页面上创建查询时，远程主机上安装的 phpMyAdmin 版本未正确处理为代替有效用户名而注入的恶意 sql，从而导致 SQL 注入漏洞。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 phpMyAdmin 版本未审查“设计器”功能中的数据库名称参数，因而受到 SQL 注入漏洞影响。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

此版本 phpMyAdmin 的登录表单中存在跨站请求伪造 (CSRF) 漏洞，可能允许攻击者执行 SQL 注入攻击。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 phpMyAdmin 版本未正确处理设计器功能中的恶意数据库名称，可导致 SQL 注入攻击。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 phpMyAdmin 版本未正确处理设计器功能中的恶意用户名，可导致 SQL 注入攻击。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 phpMyAdmin 版本未正确阻止对 LOAD DATA INFILE 函数的访问，导致攻击者能够读取文件系统上可通过 Web 服务器权限访问的任何文件。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 phpMyAdmin 版本未正确审查数据库/表格名称，可导致跨站脚本 (XSS) 漏洞。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 phpMyAdmin 版本受到跨站请求伪造 (XSRF/CSRF) 漏洞影响，攻击者可借此注入有害的 SQL 查询。漏洞。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 phpMyAdmin 版本的转换功能存在缺陷，经身份验证的攻击者可利用此缺陷泄漏本地文件的内容。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 phpMyAdmin 版本未正确处理会导致跨站脚本 (XSS) 漏洞的恶意文件名。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 phpMyAdmin 版本未正确处理页面重定向并且未正确测试允许的页面，攻击者可借此执行任意代码和/或查看敏感文件。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 phpMyAdmin 版本未审查“设计器”功能中的数据库名称参数，从而导致跨站脚本 (XSS) 漏洞。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 phpMyAdmin 版本允许欺骗用户点击构建的 URL 链接，这可能允许攻击者执行任意 SQL 命令。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 phpMyAdmin 版本未审查 db_central_columns 参数使用的用户输入，从而导致跨站脚本 (XSS) 漏洞。请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本低于 8.5.10，或高于 8.6.x 但低于 8.13.1 版。因此，它受到跨站请求伪造 (CSRF) 漏洞的影响，其次引用标头中还存在信息泄露漏洞，可造成用户的 CSRF 标记遭到泄露。

请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 8.19.1 的 8.5.x。因此，它受到一个漏洞影响，已从 Jira Service Management 撤销访问权限的远程攻击者可利用 /secure/ViewCollector 端点中的不当验证漏洞启用和禁用 Jira Service Management 项目上的问题收集器。

请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本低于 8.13.15，或高于 8.14.x 但低于 8.20.3 版。因此，它受到一个漏洞影响，具有管理员权限的远程攻击者可利用电子邮件模板功能中可导致远程代码执行的模板注入漏洞执行任意代码。

请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据 Atlassian Jira 自我报告的版本号，远程 Web 服务器上托管的实例版本低于 8.20.3。因此，它受到一个漏洞影响，具有路线图管理员权限的远程攻击者可利用 /rest/jpo/1.0/hierarchyConfiguration 端点中的存储式跨站脚本 (SXSS) 漏洞注入任意 HTML 或 JavaScript。

请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本低于 8.13.16，或高于 8.14.x 但低于 8.20.5 版。因此，它受到一个漏洞影响，未经身份验证的远程攻击者可利用 /secure/admin/ViewInstrumentation.jspa 端点中的跨站请求伪造 (CSRF) 漏洞切换线程争用和 CPU 监控设置。

请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据 Atlassian Jira 自我报告的版本号，远程 Web 服务器上托管的实例版本低于 8.20.1。因此，它受到一个漏洞影响，经过身份验证的非管理员远程攻击者可利用 /secure/admin/ConfigureBatching!default.jspa 端点中的不当授权漏洞编辑电子邮件批处理配置。

请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本低于 8.13.12，或高于 8.14.x 但低于 8.20.2 版。因此，它受到一个漏洞影响，匿名远程攻击者可利用 /secure/admin/ImporterFinishedPage.jspa 错误消息中的跨站脚本 (XSS) 漏洞注入任意 HTML 或 JavaScript。

请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本低于 8.13.18，或高于 8.20.x 但低于 8.20.6 版。因此，它受到一个漏洞影响，经过身份验证的远程攻击者可利用 /secure/admin/RestoreDefaults.jspa 端点中的跨站请求伪造漏洞还原字段的默认配置。

请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本低于 8.13.15，或高于 8.14.x 但低于 8.20.3 版。因此，该应用程序受到多个漏洞的影响：

 - 电子邮件模板功能存在可导致远程代码执行的模板注入漏洞，具有管理员权限的远程攻击者可利用此漏洞执行任意代码。

 - /rest/collectors/1.0/template/custom 端点中存在反射型跨站脚本 (XSS) 漏洞，远程攻击者可利用此漏洞注入任意 HTML 或 JavaScript。

请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本高于 8.0.x 但低于 8.13.22 版，或高于 8.14.x 但低于 8.20.10 版或为低于 8.21.4 的 8.21.x 版。因此，它受到一个漏洞影响，经过身份验证的远程用户（包括通过注册功能加入的用户）可利用此漏洞，通过批处理端点执行完整的读取服务器端请求伪造攻击。

请注意，Nessus 并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

7060 之前的 ManageEngine ADAudit Plus 版本会受到一个 XML 外部实体 (XXE) 漏洞的影响。未经身份验证的远程攻击者可利用此漏洞，在目标服务器上上传序列化的 Java 对象，然后通过 `ceworlf` 端点将其反序列化，从而实现远程代码执行。

Oracle Fusion Middleware 的 Oracle Access Manager 产品中存在的漏洞（组件：OpenSSO Agent），此漏洞允许未经身份验证的攻击者通过 HTTP 进行网络访问，从而入侵 Oracle Access Manager。成功利用此漏洞进行攻击可导致接管 Oracle Access Manager。支持的版本中受影响的是 11.1.2.3.0、12.2.1.3.0 和 12.2.1.4.0。

Atlassian Jira versions < 8.13.18、8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x、8.20.x < 8.20.6、8.21.x 和 Atlassian Jira Service Management < 4.13.18、4.14.x、4.15.x、4.16.x、4.17.x、4.18.x、4.19.x、4.20.x < 4.20.6 以及 4.21.x 会使用名为 Atlassian Jira Seraph 的通用身份验证框架，该框架受到身份验证绕过漏洞的影响。

通过构建特定的 HTTP 请求，未经身份验证的远程攻击者可利用此漏洞，使用受影响的配置绕过 WebWork 操作中的身份验证和授权要求。漏洞的影响取决于 Jira 或 Jira Service Management 实例中使用的应用程序及其 Jira Seraph 框架的使用情况。

Oracle Java SE 版本 15、17 和 18 以及 Oracle GraalVM Enterprise Edition 版本 21.3.1 和 22.0.0.2 未正确验证基于签名的椭圆曲线数字签名算法 (ECDSA)。通过将签名的 `r` 和 `s` 组件值强制设为零，攻击者可以为任何消息和公钥伪造有效签名，而受攻击的库或组件版本可以接受这些消息和公钥。攻击者可利用此漏洞，绕过任何依赖此算法及其 Java 实现的安全机制。

远程主机上安装的 Apache Tomcat 版本为 8.5.50 至 8.5.81 版、9.0.30 至 9.0.64 版、10.0.0-M1 至 10.0.22 版或 10.1.0-M1 至 10.1.0-M16。因此，它受到跨站脚本 (XSS) 漏洞的影响。Web 应用程序示例中的表单身份验证示例显示用户提供的数据，而没有筛选，暴露出一个 XSS 漏洞。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 WordPress Ninja Forms Plugin 版本会受到代码注入漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Elementor Plugin 会受到跨站脚本 (XSS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 9.2.21 的 9.2.x，低于 9.3.16 的 9.3.x 或低于 9.4.0-rc2 的 9.4.x。Drupal 会使用第三方 Guzzle 库处理 HTTP 请求和对外部服务的响应。Guzzle 已发布两则安全公告。这些缺陷不会影响 Drupal 核心，但可能会影响 Drupal 站点上某些投稿项目或自定义代码。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
113304	phpMyAdmin 5.0.x < 5.0.3 多个漏洞	critical
113303	phpMyAdmin 4.9.x < 4.9.6 多个漏洞	critical
113302	phpMyAdmin 5.0.x < 5.0.2 多个漏洞	high
113301	phpMyAdmin 4.9.x < 4.9.5 多个漏洞	high
113300	phpMyAdmin 5.0.x < 5.0.1 SQL 注入	high
113299	phpMyAdmin 4.8.x < 4.9.4 SQL 注入	high
113298	phpMyAdmin 4.7.7 < 4.9.2 SQL 注入	critical
113297	phpMyAdmin 4.x < 4.9.0 跨站请求伪造漏洞	medium
113296	phpMyAdmin 4.8.6 SQL 注入	critical
113295	phpMyAdmin 4.5.x < 4.8.5 SQL 注入	critical
113294	phpMyAdmin 4.x < 4.8.5 任意文件读取	medium
113293	phpMyAdmin 4.x < 4.8.4 跨站脚本漏洞	medium
113292	phpMyAdmin 4.7.x < 4.8.4 跨站请求伪造漏洞	high
113291	phpMyAdmin 4.x < 4.8.4 本地文件包含	medium
113290	phpMyAdmin 4.x < 4.8.3 跨站脚本漏洞	medium
113289	phpMyAdmin 4.8.x < 4.8.2 远程代码执行	high
113288	phpMyAdmin 4.x < 4.8.2 跨站脚本漏洞	medium
113287	phpMyAdmin 4.8.x < 4.8.0-1 跨站请求伪造漏洞	high
113286	phpMyAdmin 4.7.x < 4.7.8 跨站脚本漏洞	medium
113285	Atlassian Jira 8.6.x < 8.13.1 跨站请求伪造	medium
113284	Atlassian JIRA < 8.5.10 跨站请求伪造	medium
113283	Atlassian Jira < 8.19.1 不当验证	high
113282	Atlassian Jira < 8.14.x < 8.20.3 模板注入	high
113281	Atlassian Jira < 8.13.15 模板注入	high
113280	Atlassian Jira < 8.20.3 跨站脚本	medium
113279	Atlassian Jira 8.14.x < 8.20.5 跨站请求伪造	medium
113278	Atlassian JIRA < 8.13.16 跨站请求伪造	medium
113277	Atlassian Jira < 8.20.1 不当授权	medium
113276	Atlassian Jira < 8.14.x < 8.20.2 跨站脚本	medium
113275	Atlassian Jira < 8.13.12 跨站脚本	medium
113274	Atlassian Jira 8.20.x < 8.20.6 跨站请求伪造	medium
113273	Atlassian JIRA < 8.13.18 跨站请求伪造	medium
113272	Atlassian Jira < 8.14.x < 8.20.3 多个漏洞	high
113271	Atlassian Jira < 8.13.15 多个漏洞	high
113270	Atlassian Jira 8.21.x < 8.22.4 服务器端请求伪造	medium
113269	Atlassian Jira 8.14.x < 8.20.10 服务器端请求伪造	medium
113268	Atlassian Jira 8.0.x < 8.13.22 服务器端请求伪造	medium
113266	ManageEngine ADAudit Plus XML 外部实体	critical
113259	Oracle Access Manager 远程代码执行	critical
113249	Atlassian Jira Seraph 身份验证绕过	critical
113242	Java Psychic 签名	high
113265	Apache Tomcat 8.5.50 < 8.5.82 跨站脚本	medium
113264	Apache Tomcat 9.0.30 < 9.0.65 跨站脚本	medium
113263	Apache Tomcat 10.0.0-M1 < 10.0.23 跨站脚本	medium
113262	Apache Tomcat 10.1.0-M1 < 10.1.0-M17 跨站脚本	medium
113261	Ninja Forms Plugin for WordPress < 3.6.11 代码注入	critical
113260	Elementor Plugin for WordPress < 3.5.6 跨站脚本	medium
113257	Drupal 9.2.x< 9.2.21 第三方库漏洞	high
113256	Drupal 9.3.x< 9.3.16 第三方库漏洞	high
113255	Drupal 9.4.x < 9.4.0-rc2 第三方库漏洞	high

检测

Web App Scanning 的 Component Vulnerability 系列

critical

critical

high

high

high

high

critical

medium

critical

critical

medium

medium

high

medium

medium

high

medium

high

medium

medium

medium

high

high

high

medium

medium

medium

medium

medium

medium

medium

medium

high

high

medium

medium

medium

critical

critical

critical

high

medium

medium

medium

medium

critical

medium

high

high

high