根据其响应标头中自我报告的版本，远程 Web 服务器上托管的 X-Cart 版本为 5.0.10 < 5.2.18。因而受到重定向功能中一个漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其响应标头中自我报告的版本，远程 Web 服务器上托管的 X-Cart 版本为 4.4.0 < 4.7.10。因此，该主机受到多个漏洞的影响：

 - SQL 注入漏洞。

 - 针对嵌入式 jQuery 组件的跨站脚本 (XSS)。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上安装的 PHP 为低于 7.3.29 的 7.3.x 版、低于 7.4.21 的 7.4.x 版或低于 8.0.8 的 8.x 版。因此，该应用程序受到多个漏洞影响：

 - FILTER_VALIDATE_URL 中存在服务器端请求伪造 (SSRF) 绕过。(CVE-2021-21705)

 - pdo_firebase 模块中的缺陷允许恶意 firebase 服务器或中间人攻击者造成 PHP 崩溃。(CVE-2021-21704)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 8.5.12 的版本、8.6.x < 8.13.4 或 8.14.x < 8.15.1。因此，该应用程序受到多个漏洞影响：

 - 由参数污染导致的基于 DOM 的跨站脚本 (XSS) 漏洞。(CVE-2020-36288)

 - 与无效文件名一起显示时，错误消息中存在信息泄露漏洞，允许经身份验证的远程攻击者获取 Jira 应用程序数据目录的完整路径。(CVE-2021-26075)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress ProfilePress Plugin 版本受到多个漏洞的影响：

 - 在注册的同时，提供 wp_capabilties 作为数组参数时存在未经身份验证的特权提升漏洞。(CVE-2021-34621)

 - 用户配置文件更新功能中存在经验证的特权提升。(CVE-2021-34622)

 - Image Uploader 组件内存在任意文件上传。(CVE-2021-34623)

 - File Uploader 组件内存在任意文件上传。(CVE-2021-34624)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本低于 6.15.2。因此，该应用程序受到 applinkStartingUrl 参数中跨站脚本 (XSS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本为 6.1.x < 6.6.16、6.7.x < 6.13.7 或 6.14.x < 6.15.8。因而受到页面导出功能中本地文件泄露漏洞的影响。具有“添加页面空间”权限的远程攻击者可以读取 <install-directory>/confluence/WEB-INF/ 目录及其子目录中的任意文件。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本低于 7.0.1。因而受到低于版本 1.17.2 的 Atlassian Troubleshooting and Support Tools (ATST) 插件中缺少授权检查漏洞的影响，此漏洞与 Confluence 服务器和 Confluence 数据中心捆绑，允许非特权用户启动定期日志扫描，并发送结果发送到用户指定的电子邮件地址。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本为 6.11.x < 6.13.10、6.14.x < 6.15.10、7.0.1 < 7.0.5 或 7.1.x < 7.1.2。因而会受到 Confluence 预览插件中存在的中间人 (MITM) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序是 6.13.6 之前的版本、6.14.x < 6.15.5 或 7.0.x < 7.0.1。因而受到一个遗漏权限检查漏洞的影响，允许远程攻击者获取与已配置的应用程序链接有关的信息。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序是 6.13.11 之前的版本或 6.14.x < 7.3.3。因此，该服务器受到授权检查不当的影响，借助该漏洞，拥有管理员特权的远程攻击者无需通过 WebSudo 即可编辑现有应用链接。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序是 7.4.5 之前的版本或 7.5.x < 7.5.1。因而会受到自定义用户宏中的一个注入漏洞的影响，允许具有系统管理权限的远程攻击者绕过速度模板注入缓解措施。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序是 7.4.2 之前的版本或 7.5.x < 7.5.2。因此，该应用程序受到用户宏参数中跨站脚本 (XSS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序是 6.13.18 之前的版本、6.14.x < 7.4.6 或 7.5.x < 7.8.3。因而会受到错误路径访问检查漏洞的影响，未经身份验证的远程攻击者可利用此漏洞，读取 WEB-INF 和 META-INF 目录内的任意文件。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本低于 7.2.0。因而会受到头像上传功能中拒绝服务 (DoS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本低于 5.8.6。因而会受到 widgetconnector 插件中服务器端盲目请求伪造 (SSRF) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序是 7.11.0 之前的版本。因此，该应用程序受到以下漏洞的影响：

 - Team Calendars 参数中存在一个服务器端盲目请求伪造 (SSRF) 漏洞。(CVE-2020-29445)

 - 管理全局设置参数中存在跨站脚本 (XSS) 漏洞。(CVE-2020-29444)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本低于 7.4.0。因此，该应用程序受到 docreatepagetemplate.action 模版中跨站脚本 (XSS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 7.3.16 的版本、8.x < 8.5.7 或 8.6.x < 8.12.0。因而受到 ViewUserHover.jspa 端点中的一个信息泄露漏洞影响，该漏洞允许未经身份验证的用户枚举用户。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 7.3.18 的版本、8.x < 8.5.9 或 8.6.x < 8.12.1。因而会受到 HTTP 响应标头中信息泄露漏洞的影响，允许具有有限特权的远程攻击者查看 Jira 实例的 Support Entitlement Number (SEN)。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 8.5.9 的版本、8.6.x < 8.12.3 或 8.13.x < 8.13.1。因此，它受到 Jira 问题过滤器导出文件中跨站脚本 (XSS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 7.13.18 的版本、8.x < 8.5.9 或 8.6.x < 8.12.2。因而受到信息泄露漏洞的影响，这是由于 ActionsAndOperations 资源中遗漏权限检查所致，未经身份验证的远程攻击者可利用此漏洞枚举问题密钥。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本低于 8.5.10，或为低于 8.13.2 的 8.6.x。因而受到不安全直接对象引用 (IDOR) 漏洞的影响，该漏洞可让远程攻击者查看原本不应具有访问权限的板的元数据。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 8.5.10 的版本、8.6.x < 8.13.2 或 8.14.x < 8.14.1。因而会受到服务器端请求伪造 (SSRF) 漏洞的影响，允许向恶意服务器发出非预期的 DNS 查找和请求。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据 Atlassian Jira 自我报告的版本号，远程 Web 服务器上托管的实例版本低于 8.15.0。因而会受到 /rest/api/2/customFieldOption/ 端点中信息泄露漏洞的影响，允许未经身份验证的远程攻击者查看自定义字段选项。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本低于 8.13.3，或为低于 8.14.1 的 8.14.x。因而会受到 makeRequest 小工具资源中身份验证中断漏洞的影响，允许远程攻击者避开防火墙后对与应用相关资源的保护。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
112885	X-Cart 5.0.10 < 5.2.18 开放重定向	high
112884	X-Cart 4.4.0 < 4.7.11 多个漏洞	critical
112883	PHP 7.3.x < 7.3.29 多个漏洞	medium
112882	PHP 7.4.x < 7.4.21 多个漏洞	medium
112881	PHP 8.x < 8.0.8 多个漏洞	medium
112829	Atlassian Jira 8.14.x < 8.15.1 多个漏洞 (1/2)	medium
112880	ProfilePress Plugin for WordPress 3.x < 3.1.4 多个漏洞	critical
112879	Atlassian Confluence < 6.15.2 跨站脚本	medium
112878	Atlassian Confluence 6.14.x < 6.15.8 本地文件泄露	high
112877	Atlassian Confluence 6.7.x < 6.13.7 本地文件泄露	high
112876	Atlassian Confluence 6.1.x < 6.6.16 本地文件泄露	high
112875	Atlassian Confluence < 7.0.1 不当授权	medium
112874	Atlassian Confluence 7.1.x < 7.1.2 中间人	medium
112873	Atlassian Confluence 6.14.x < 6.15.10 中间人	medium
112872	Atlassian Confluence 6.11.x < 6.13.10 中间人	medium
112871	Atlassian Confluence 7.0.x < 7.0.1 信息泄露	medium
112870	Atlassian Confluence 6.14.x < 6.15.5 信息泄露	medium
112869	Atlassian Confluence < 6.13.6 信息泄露	medium
112868	Atlassian Confluence 6.14.x < 7.3.3 不当授权	medium
112867	Atlassian Confluence < 6.13.11 不当授权	medium
112866	Atlassian Confluence 7.5.x < 7.5.1 模板注入	medium
112865	Atlassian Confluence < 7.4.5 模板注入	medium
112864	Atlassian Confluence 7.5.x < 7.5.2 跨站脚本	medium
112863	Atlassian Confluence < 7.4.2 跨站脚本	medium
112862	Atlassian Confluence 7.5.x < 7.8.3 任意文件读取	medium
112861	Atlassian Confluence 6.14.x < 7.4.6 任意文件读取	medium
112860	Atlassian Confluence < 6.13.18 任意文件读取	medium
112859	Atlassian Confluence < 7.2.0 拒绝服务	medium
112858	Atlassian Confluence < 5.8.6 服务器端请求伪造	medium
112857	Atlassian Confluence < 7.11.0 多个漏洞	medium
112856	Atlassian Confluence < 7.4.0 跨站脚本	high
112855	Atlassian Jira 8.6.x < 8.12.0 信息泄露	medium
112854	Atlassian Jira 8.x < 8.5.7 信息泄露	medium
112853	Atlassian Jira < 7.13.16 信息泄露	medium
112852	Atlassian Jira 8.6.x < 8.12.1 Support Entitlement Number 泄露	medium
112851	Atlassian Jira 8.x < 8.5.9 Support Entitlement Number 泄露	medium
112850	Atlassian Jira < 7.13.18 Support Entitlement Number 泄露	medium
112849	Atlassian Jira < 8.13.x < 8.13.1 跨站脚本	medium
112848	Atlassian Jira < 8.6.x < 8.12.3 跨站脚本	medium
112847	Atlassian Jira < 8.5.9 跨站脚本	medium
112846	Atlassian Jira 8.6.x < 8.12.2 信息泄露	medium
112845	Atlassian Jira 8.x < 8.5.9 信息泄露	medium
112844	Atlassian Jira < 7.13.18 信息泄露	medium
112843	Atlassian Jira 8.6.x < 8.13.2 不安全的直接对象引用	medium
112842	Atlassian Jira < 8.5.10 不安全的直接对象引用	medium
112841	Atlassian Jira 8.14.x < 8.14.1 服务器端请求伪造	medium
112840	Atlassian Jira 8.6.x < 8.13.2 服务器端请求伪造	medium
112839	Atlassian Jira < 8.5.10 服务器端请求伪造	medium
112838	Atlassian Jira < 8.15.0 信息泄露	medium
112837	Atlassian Jira 8.14.x < 8.14.1 身份验证中断	high

检测

Web App Scanning 的 Component Vulnerability 系列

high

critical

medium

medium

medium

medium

critical

medium

high

high

high

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

high

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

high