根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本低于 8.13.9，或高于 8.14.x 但低于 8.18.0 版。因而受到白名单功能中一个中断访问控制漏洞的影响，允许匿名远程攻击者即使在失去权限之后，也能继续查看缓存的内容。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Joomla! 实例版本是低于 4.0.1 的 4.0。因此，该版本受到其 com_media 删除端点上访问控制不足漏洞的影响。未经身份验证的远程攻击者可利用此漏洞删除受影响系统上的任意文件。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 8.9.18 的 8.9.x，低于 9.1.12 的 9.1.x 或低于 9.2.4 的 9.2.x。因此，该实例因使用第三方组件 CKEditor 进行 WYSIWYG 编辑而受到多个漏洞的影响：

 - 在 CKEditor 4 Fake Objects 程序包中发现一个漏洞。该漏洞允许注入畸形 Fake Objects HTML，从而导致执行 JavaScript 代码。(CVE-2021-37695)

 - 在剪贴板小组件插件中发现一个漏洞，前提是该插件与撤消功能一起使用。该漏洞允许用户使用畸形的小组件 HTML 滥用撤消功能，从而导致执行 JavaScript 代码。(CVE-2021-32808)

 - 在 CKEditor 4 Clipboard 程序包中发现一个漏洞。该漏洞允许通过使用畸形 HTML 滥用粘贴功能，从而导致将任意 HTML 注入编辑器。(CVE-2021-32809)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

受影响的 Confluence Server 和数据中心版本中存在一个 OGNL 注入漏洞，该漏洞允许经过身份验证的用户（在某些情况下允许未经身份验证的用户）在 Confluence Server 或数据中心实例上执行任意代码。如果启用“允许用户注册以创建其帐户”，则非管理员用户或未经身份验证的用户可访问存在漏洞的端点。

受影响的版本包括低于 6.13.23 的版本、低于 7.4.11 的版本 6.14.0、低于 7.11.6 的版本 7.5.0 以及低于 7.12.5 的 7.12.0

根据其自我报告的版本号，远程主机上运行的 Microsoft SharePoint 应用程序会受到多个漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ViewState 是 ASP.NET 框架特有的参数，当用户在不同的网页之间浏览应用程序并保存相关值和控件时，它被用作 breadcrumb 跟踪。在页面上的 __viewstate 参数中，所有值都已被序列化，并在一个隐藏字段中以 base64 编码。除了 base64 编码外，viewstate 还可以用 MAC（消息验证代码）签名，以保证完整性，也可以加密以保证机密性。

如果 viewstate 并未签名，根据内部存储的信息，攻击者可能会修改内部存储的信息。

ViewState 是 ASP.NET 框架特有的参数，当用户在不同的网页之间浏览应用程序并保存相关值和控件时，它被用作 breadcrumb 跟踪。在页面上的 __viewstate 参数中，所有值都已被序列化，并在一个隐藏字段中以 base64 编码。除了 base64 编码外，viewstate 还可以用 MAC（消息验证代码）签名，以保证完整性，也可以加密以保证机密性。

如果 viewstate 并未加密，根据内部存储的信息，攻击者可能会检索有关用户的敏感信息。

远程主机上安装的 Adminer 版本未审查用户名参数中的用户输入，从而可能导致 XSS 漏洞。请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Adminer 版本未审查改变表函数中的用户输入，从而可能导致 XSS 漏洞。请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Adminer 版本未审查索引函数中的用户输入，从而可能导致跨站脚本 (XSS) 漏洞。请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

在构建未充分审查的 SQLite 查询时，远程主机上安装的 Adminer 版本会受到一个远程代码执行缺陷的影响。请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Adminer 版本会受到服务器端请求伪造 (SSRF) 缺陷（可通过服务器参数实现）的影响，这可能允许客户端继续连接到任意系统/端口，并可能被用于绕过防火墙，以识别内部资源并执行端口扫描。请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Adminer 版本受到通过已捆绑所有驱动程序的版本中 Elasticsearch 和 ClickHouse 的错误页面造成的服务器端请求伪造 (SSRF) 缺陷的影响，这可能允许客户端继续连接到任意系统/端口，并可能被用于绕过防火墙，以识别内部资源并执行端口扫描。请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Adminer 版本未审查 url 参数中的用户输入，从而可能导致跨站脚本 (XSS) 漏洞。请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Adminer 版本未审查用于 pdo_ extensions 的用户输入，从而可能导致跨站脚本 (XSS) 漏洞。请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 7.82 的 7.0.x，低于 8.9.17 的 8.9.x、低于 9.1.11 的 9.1.x 或低于 9.2.2 的 9.2.x。因而受到一个漏洞影响，这是由于 Drupal 使用 PEAR Archive_Tar 库所致。

Drupal 项目使用的 pear Archive_Tar 库已经发布一项安全更新，会对 Drupal 产生影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

WordPress WooCommerce 插件版本 3.3 到 5.5.0 以及 WooCommerce Blocks 功能插件版本 2.5 到 5.5.0 容易受到未经身份验证的 SQL 注入漏洞的攻击。

如果成功利用此漏洞，可能会允许远程攻击者读取、删除、修改数据库中的数据，并且获得对受影响应用程序的完全控制权。

远程主机上安装的 Apache Tomcat 版本为 10.0.3 至 10.0.4 版和 9.0.44 至 8.5.64 版。因而受到拒绝服务的影响，这是由于改进非阻塞 I/O 期间的错误处理变更时引入一个错误所致。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为 10.0.0-M1 至 10.0.5、9.0.0.M1 至 9.0.45、8.5.0 至 8.5.65 或 7.0.0 至 7.0.108 版。因而受到一个身份验证弱点的影响，这是由于 JNDI Realm 进行的查询所致，其无法始终正确地对参数进行转义。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为 10.0.0-M1 至 10.0.6、9.0.0.M1 至 9.0.47 或 8.5.0 至 8.5.67。- 因而会受到请求走私的影响，这是由于 Apache Tomcat 在某些情况下与反向代理一起使用时未正确解析 HTTP 传输编码请求标头所致。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

ID	名称	严重性
112951	Atlassian Jira 8.14.x < 8.18.0 中断访问控制	high
112950	Atlassian Jira < 8.13.9 中断访问控制	high
112948	Joomla! 4.x < 4.0.1 访问控制不充分	critical
112947	Drupal 8.9.x< 8.9.18 第三方库漏洞	medium
112946	Drupal 9.1.x< 9.1.12 第三方库漏洞	medium
112945	Drupal 9.2.x< 9.2.4 第三方库漏洞	medium
112944	Atlassian Confluence Webwork OGNL 注入	critical
112943	Microsoft SharePoint Server 2013 < 15.0.5311.1000 多个漏洞	high
112942	Microsoft SharePoint Server 2010 < 14.0.7264.5000 多个漏洞	high
112941	Microsoft SharePoint Server 2016 < 16.0.5110.1000 多个漏洞	high
112940	Microsoft SharePoint Server 2019 < 16.0.10370.20001 多个漏洞	high
112939	Microsoft SharePoint Server 2016 < 16.0.5134.1001 多个漏洞	high
112938	Microsoft SharePoint Server 2019 < 16.0.10372.20060 多个漏洞	high
112937	Microsoft SharePoint Server 2010 < 14.0.7268.5000 多个漏洞	high
112936	Microsoft SharePoint Server 2016 < 16.0.5149.1000 多个漏洞	high
112935	Microsoft SharePoint Server 2013 < 15.0.5337.1000 多个漏洞	high
112934	Microsoft SharePoint Server 2019 < 16.0.10373.20000 多个漏洞	high
112933	Microsoft SharePoint Server 2016 < 16.0.5161.1000 多个漏洞	high
112932	Microsoft SharePoint Server 2019 < 16.0.10374.20000 多个漏洞	high
112931	Microsoft SharePoint Server 2016 < 16.0.5173.1000 多个漏洞	high
112930	Microsoft SharePoint Server 2013 < 15.0.5353.1000 多个漏洞	high
112929	Microsoft SharePoint Server 2019 < 16.0.10375.20000 多个漏洞	high
112928	Microsoft SharePoint Server 2013 < 15.0.5363.1000 多个漏洞	high
112927	Microsoft SharePoint Server 2016 < 16.0.5188.1000 多个漏洞	high
112926	Microsoft SharePoint Server 2019 < 16.0.10376.20001 多个漏洞	high
112924	未启用 ASP.NET ViewState MAC	medium
112923	未加密 ASP.NET ViewState	medium
112915	Adminer < 4.2.0 跨站脚本	medium
112914	Adminer < 4.2.2 跨站脚本	medium
112913	Adminer < 4.2.3 跨站脚本	medium
112912	Adminer < 4.2.4 远程代码执行	high
112911	Adminer < 4.4.0 服务器端请求伪造	critical
112910	Adminer < 4.7.8 服务器端请求伪造	high
112909	Adminer < 4.7.9 跨站脚本	medium
112908	Adminer < 4.8.1 跨站脚本	medium
112919	Drupal 7.x< 7.82 第三方库漏洞	high
112918	Drupal 8.9.x< 8.9.17 第三方库漏洞	high
112917	Drupal 9.1.x< 9.1.11 第三方库漏洞	high
112916	Drupal 9.2.x< 9.2.2 第三方库漏洞	high
112906	WooCommerce & WooCommerce Blocks Plugins for WordPress 未经身份验证的 SQL 注入	high
112905	Apache Tomcat 8.5.64 拒绝服务	high
112904	Apache Tomcat 9.0.44 拒绝服务	high
112903	Apache Tomcat 10.0.3 < 10.0.5 拒绝服务	high
112902	Apache Tomcat 7.0.x < 7.0.109 身份验证弱点	medium
112901	Apache Tomcat 8.5.x < 8.5.66 身份验证弱点	medium
112900	Apache Tomcat 9.0.0.M1 < 9.0.46 身份验证弱点	medium
112899	Apache Tomcat 10.0.0-M1 < 10.0.6 身份验证弱点	medium
112898	Apache Tomcat 8.5.x < 8.5.68 请求走私	medium
112897	Apache Tomcat 9.0.0.M1 < 9.0.48 请求走私	medium
112896	Apache Tomcat 10.0.0-M1 < 10.0.7 请求走私	medium

检测

Web App Scanning 的 Component Vulnerability 系列

high

high

critical

medium

medium

medium

critical

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

high

medium

medium

medium

medium

medium

high

critical

high

medium

medium

high

high

high

high

high

high

high

high

medium

medium

medium

medium

medium

medium

medium