根据其自我报告的版本号，检测到的 WordPress 应用程序受到多个漏洞的影响：

 - 通过文章缩略名实现的跨站脚本 (XSS) 漏洞。

 - 某些多站点安装中存在对象注入漏洞。

 - WP_Query 中存在 SQL 注入漏洞。

 - WP_Meta_Query 中存在 SQL 注入漏洞。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Microsoft SharePoint 应用程序会受到多个漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Kiwi Social Share Plugin 会受到未经身份验证的任意 WordPress 选项更新漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress PublishPress Capabilities Plugin 会受到未经身份验证的任意 WordPress 选项更新漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache httpd 版本低于 2.4.52。因此，如公告 2.4.52 所述，该主机受到多个漏洞的影响。

 - 发送到配置为正向代理（开启“ProxyRequests”） 的 httpd 的特制 URI 可能会造成崩溃（空指针取消引用），或者混合正向和反向代理声明的配置可允许将请求定向到声明的 Unix 域套接字端点（服务器端请求伪造）。此问题会影响 Apache HTTP Server 2.4.7 版至 2.4.51 版（含该版本）。(CVE-2021-44224)

 - 精心构建的请求正文可导致 mod_lua 多部分解析器（从 Lua 脚本调用的 r:  parsebody()）中出现缓冲区溢出问题。Apache httpd 团队并未发现恶意利用该漏洞的情况，但也许可以构建一个漏洞。此问题影响 Apache HTTP Server 2.4.51 及更早版本。CVE-2021-44790

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上检测到的 AngularJS 安装不再受支持。缺少支持意味着供应商将不再发布该产品的任何新安全修补程序。因此，它可能包含某些安全漏洞。

远程主机正在运行的 Sitecore XP 7.5 初始版本至 Sitecore XP 8.2 Update-7 容易受到不安全的反序列化攻击，而此攻击有可能在计算机上实现远程命令执行。无需身份验证或特殊配置即可利用此漏洞。

Apache Log4j 是一个基于 Java 的开放源代码日志框架，可在众多 Java 应用程序中使用。Apache Log4j versions 2.0-beta9 至 2.15.0 中存在漏洞，这是由于处理用户控制的输入时对消息查找替换的保护不足所致。通过构建恶意字符串，攻击者可利用此问题在目标应用程序使用的 Log4j 实例上实现远程代码执行。

远程主机上安装的 WordPress Variation Swatches for WooCommerce Plugin 会受到存储型跨站脚本 (XSS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Metabase 是一个开源数据分析平台。在受影响的版本中，已发现自定义 GeoJSON 地图 (`admin->settings->maps->custom maps->add a map`) 支持和潜在的本地文件包含（包括环境变量）中存在安全问题，这是由于 URL 在加载前并未经过身份验证所致。

根据其自我报告的版本号，UAParjser.js 的版本为 0.7.29、0.8.0 或 1.0.0。因而可能会受到嵌入式恶意代码漏洞的影响，这是由于维护者 NPM 帐户中的劫持，导致在此程序包中包含嵌入式恶意 crypto 次要漏洞。具体而言，该恶意代码会读取浏览器用户数据文件，导出操作系统凭据，从浏览器复制 Cookie DB 文件。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 8.9.20 的 8.9.x，低于 9.1.14 的 9.1.x 或低于 9.2.9 的 9.2.x。因此，该实例因使用第三方组件 CKEditor 进行 WYSIWYG 编辑而受到跨站脚本漏洞的影响：

 - 在核心 HTML 处理模块中发现跨站脚本 (XSS)，此漏洞可能会影响 CKEditor 4 使用的所有插件。(CVE-2021-41165)

 - 在高级内容过滤器 (ACF) 模块中发现跨站脚本 (XSS)，此漏洞可能会影响 CKEditor 4 使用的所有插件。(CVE-2021-41164)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上运行的 PHP 版本为低于 7.3.33 的 7.3.x、低于 7.4.26 的 7.4.x 或低于 8.0.13 的 8.0.x。因而受到一个本地文件包含漏洞的影响，这是由于空字节特殊字符中断 xml 函数中的路径所致。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

累积更新 11 之前的 Microsoft Exchange Server 2019 版本、累积更新 22 之前的 2016 版本以及累积更新 23 之前的 2013 版本均可通过 `autodiscover/autodiscover.json` 端点，受到一个跨站脚本漏洞影响。通过构建特定的 URL，攻击者可能会针对任何 Exchange 用户，并尝试在目标应用程序上进行网络钓鱼攻击或执行任意修改。

由于使用 php-cgi 和 ModSecurity 时缺乏对 Apache 错误的控制，因此攻击者可通过特制的请求，在错误响应中获取请求页面的源代码，该请求包含一个不正确值的 Content-Length 标头。

远程主机上安装的 WordPress OptinMonster Plugin 会受到敏感信息泄露漏洞的影响，这是由于 REST-API 端点以不安全的方式实现所致。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress NextScripts Social Networks Auto-Poster Plugin 会受到反射型跨站脚本 (XSS) 的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WP DSGVO Tools (GDPR) Plugin 会受到未经身份验证的任意后删除漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
113111	WordPress 5.6.x < 5.6.7 多个漏洞	high
113110	WordPress 5.5.x < 5.5.8 多个漏洞	high
113109	WordPress 5.4.x < 5.4.9 多个漏洞	high
113108	WordPress 5.3.x < 5.3.11 多个漏洞	high
113107	WordPress 5.2.x < 5.2.14 多个漏洞	high
113106	WordPress 5.1.x < 5.1.12 多个漏洞	high
113105	WordPress 5.0.x < 5.0.15 多个漏洞	high
113104	WordPress 4.9.x < 4.9.19 多个漏洞	high
113103	WordPress 4.8.x < 4.8.18 多个漏洞	high
113102	WordPress 4.7.x < 4.7.22 多个漏洞	high
113101	WordPress 4.6.x < 4.6.22 多个漏洞	high
113100	WordPress 4.5.x < 4.5.25 多个漏洞	high
113099	WordPress 4.4.x < 4.4.26 多个漏洞	high
113098	WordPress 4.3.x < 4.3.27 多个漏洞	high
113097	WordPress 4.2.x < 4.2.31 多个漏洞	high
113096	WordPress 4.1.x < 4.1.34 多个漏洞	high
113095	WordPress 4.0.x < 4.0.34 多个漏洞	high
113094	WordPress 3.9.x < 3.9.35 多个漏洞	high
113093	WordPress 3.8.x < 3.8.37 多个漏洞	high
113092	WordPress 3.7.x < 3.7.37 多个漏洞	high
113090	Microsoft SharePoint Server 2016 < 16.0.5200.1000 多个漏洞	high
113089	Microsoft SharePoint Server 2013 < 15.0.5371.1000 多个漏洞	high
113088	Microsoft SharePoint Server 2019 < 16.0.10377.20001 多个漏洞	high
113087	Microsoft SharePoint Server 2013 < 15.0.5389.1000 多个漏洞	high
113086	Microsoft SharePoint Server 2016 < 16.0.5227.1000 多个漏洞	high
113085	Microsoft SharePoint Server 2019 < 16.0.10379.20000 多个漏洞	high
113084	Microsoft SharePoint Server 2016 < 16.0.5254.1000 多个漏洞	high
113083	Microsoft SharePoint Server 2019 < 16.0.10381.20001 多个漏洞	high
113082	Kiwi Social Share Plugin for WordPress 2.1.0 < 2.1.3 任意选项更新	medium
113081	PublishPress Capabilities Plugin for WordPress < 2.3.1 任意选项更新	critical
113079	Apache 2.4.x < 2.4.52 多个漏洞	critical
113078	AngularJS 不支持的版本	high
113077	Sitecore XP 7.5.0 <= 8.2.7 远程代码执行	critical
113075	Apache Log4j 远程代码执行 (Log4Shell)	critical
113074	Variation Swatches for WooCommerce Plugin for WordPress < 2.1.2 跨站脚本	medium
113073	Metabase GeoJSON 本地文件包含	high
113072	UAParser.js 1.0.0 嵌入式恶意软件	critical
113071	UAParser.js 0.8.0 嵌入式恶意软件	critical
113070	UAParser.js 0.7.29 嵌入式恶意软件	critical
113066	Drupal 8.9.x < 8.9.20 跨站脚本	medium
113065	Drupal 9.1.x < 9.1.14 跨站脚本	medium
113064	Drupal 9.2.x < 9.2.9 跨站脚本	medium
113062	PHP 8.0.x < 8.0.13 本地文件包含	medium
113061	PHP 7.3.x < 7.3.33 本地文件包含	medium
113060	PHP 7.4.x < 7.4.26 本地文件包含	medium
113057	Microsoft Exchange Server 自动发现跨站脚本	medium
113058	Apache 2.4.10 < 2.4.44 源代码泄露	high
113056	OptinMonster Plugin for WordPress < 2.6.5 敏感信息泄露	high
113055	NextScripts Social Networks Auto-Poster Plugin for WordPress < 4.3.21 跨站脚本	medium
113054	WP DSGVO Tools (GDPR) Plugin for WordPress < 3.1.24 任意后删除	critical

检测

Web App Scanning 的 Component Vulnerability 系列

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

medium

critical

critical

high

critical

critical

medium

high

critical

critical

critical

medium

medium

medium

medium

medium

medium

medium

high

high

medium

critical