根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本低于 8.13.3，或为低于 8.14.1 的 8.14.x。因而会受到 makeRequest 小工具资源中身份验证中断漏洞的影响，允许远程攻击者避开防火墙后对与应用相关资源的保护。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 8.5.11 的版本、8.6.x < 8.13.3 或 8.14.x < 8.14.1。因而会受到 Jira Projects 插件报告页面中信息泄露漏洞的影响，该漏洞允许远程攻击者枚举 Jira 项目。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 8.5.11 的版本、8.6.x < 8.13.3 或 8.14.x < 8.15.0。因此，该应用程序受到多个漏洞影响：

 - /rest/api/1.0/issues/{id}/ActionsAndOperations API 端点中存在信息泄露漏洞，允许未经身份验证的远程攻击者下载临时文件并枚举项目密钥。(CVE-2021-26069)

 - 存在错误路径访问检查，未经身份验证的远程攻击者可利用此漏洞，读取 WEB-INF 和 META-INF 目录内的任意文件。(CVE-2020-29453)

 - ViewWorkflowSchemes.jspa 和 ListWorkflows.jspa 端点中存在跨站脚本 (XSS) 漏洞。(CVE-2020-36236)

 - Screens Modal 视图中存在一个跨站脚本 (XSS) 漏洞。(CVE-2020-36234)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 8.5.12 的版本、8.6.x < 8.13.4 或 8.14.x < 8.15.1。因此，该应用程序受到多个漏洞影响：

 - 由参数污染导致的基于 DOM 的跨站脚本 (XSS) 漏洞。(CVE-2020-36288)

 - 与无效文件名一起显示时，错误消息中存在信息泄露漏洞，允许经身份验证的远程攻击者获取 Jira 应用程序数据目录的完整路径。(CVE-2021-26075)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 8.5.12 的版本、8.6.x < 8.13.4 或 8.14.x < 8.15.0。因此，当 Jira 使用 https 配置时，会受到 jira.editor.user.mode Cookie 中缺少 Cookie 安全标记漏洞的影响。 

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本低于 8.13.5，或为低于 8.15.1 的 8.14.x。因而受到一个遗漏权限检查漏洞的影响，允许远程匿名攻击者获取小工具相关的设置。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 8.5.13 的版本、8.6.x < 8.13.5 或 8.14.x < 8.15.1。因此，该应用程序受到多个漏洞影响：

 - 存在信息泄露漏洞，允许远程匿名攻击者确定组中是否存在以及其是否被分配到公开可见的问题字段。(CVE-2020-36286)

 - 存在信息泄露漏洞，允许远程匿名攻击者通过缺少的权限检查来确定用户名是否有效。(CVE-2020-36238)

 - 存在跨站请求伪造 (CSRF) 漏洞，允许远程匿名攻击者启用和禁用 Jira Software 配置。(CVE-2021-26071)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 8.5.14 的版本、8.6.x < 8.13.6 或 8.14.x < 8.16.1。因此，该应用程序受到多个漏洞影响：

 - EditWorkflowScheme.jspa 组件中存在跨站脚本 (XSS) 漏洞。(CVE 2021-26080)

 - 数字范围搜索程序组件中存在跨站脚本 (XSS) 漏洞。(CVE-2021-26078)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程 Web 服务器上托管的 Atlassian Jira 实例版本为低于 8.5.15 的版本、8.6.x < 8.13.7 或 8.14.x < 8.17.0。因此，该应用程序受到多个漏洞影响：

 - CardLayoutConfigTable 组件中存在跨站脚本 (XSS) 漏洞。(CVE 2021-26079)

 - QueryComponentRendererValue!Default.jspa 端点中存在信息泄露漏洞，该漏洞允许未经身份验证的用户枚举用户。(CVE-2020-36289)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ForgeRock OpenAM 是一种常用的访问管理软件，用于为 Web 应用程序提供单点登录 (SSO) 功能。7.0 之前的 ForgeRock OpenAM 版本会受到反序列化漏洞的影响，允许未经身份验证的远程攻击者在目标应用程序上执行远程代码。

远程主机上安装的 WordPress WP Fluent Forms Plugin 受到跨站请求伪造 (CSRF) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Ruby On Rails 是一种常用的框架，用于基于模型视图控制器 (MVC) 架构模式构建 Web 应用程序。

当应用程序自动执行请求参数与模型属性之间的映射时，会出现批量分配漏洞。攻击者可利用此漏洞修改内部属性，这些属性不应暴露给最终用户，并且可产生多种影响（取决于应用程序逻辑），例如特权获得或敏感信息泄露。

远程主机上安装的 WordPress WooCommerce Stock Manager Plugin 会受到跨站请求伪造 (CSRF) 漏洞的影响，可能导致任意文件上传。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 版本为低于 2.4.48 的 2.4.x。因此，该应用程序受到多个漏洞影响：

 - 与“MergeSlashes OFF”匹配的非预期 <Location> 部分 (CVE-2021-30641)

 - mod_auth_digest：验证摘要 nonce 时，一个 nul 字节可能发生堆栈溢出。(CVE-2020-35452)

 - mod_session：修复可能因空指针取消引用而造成的崩溃，攻击者可能利用此问题造成恶意后端服务器和 SessionHeader 拒绝服务。(CVE-2021-26691)

 - mod_session：修复可能因空指针取消引用而造成的崩溃，攻击者可能利用此问题造成拒绝服务。(CVE-2021-26690)

 - mod_proxy_http：修复可能因空指针取消引用而造成的崩溃，攻击者可能利用此问题造成拒绝服务。(CVE-2020-13950)

 - Windows：防止本地用户停止 httpd 进程 (CVE-2020-13938)

 - mod_proxy_wstunnel、mod_proxy_http：处理可升级协议端到端协商。(CVE-2019-17567)

 - mod_http2：修复潜在的空指针取消引用。(CVE-2021-31618)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Simple 301 Redirects Plugin 版本受到多个漏洞的影响：

 - 未经身份验证的重定向导入/导出允许整个站点重定向。

 - 一个经身份验证的任意插件安装/激活。

 - 经身份验证的通配符激活及检索。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 8.9.16 的 8.9.x，低于 9.0.14 的 9.0.x 或低于 9.1.9 的 9.1.x。因此，它受到跨站脚本 (XSS) 漏洞的影响。

Drupal 会使用第三方库 CKEditor，其容易受到解析 HTML 中跨站脚本 (XSS) 的攻击。此安全性版本可修复 Drupal 内核内含或要求的第三方依赖项。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Joomla! 实例版本是低于 3.9.27 的 3.x。因此，该主机受到多个漏洞的影响。

 - MediaHelper: : canUpload 的可执行阻止列表中缺少 HTML，导致 XSS 攻击载体。(CVE-2021-26032)

 - 缺少标记检查造成在 AJAX 重新排序端点中出现 CSRF 漏洞。(CVE-2021-26033)

 - 缺少标记检查造成在 com_banners 和 com_sysinfo 的数据下载端点中出现 CSRF 漏洞。 (CVE-2021-26034)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 nginx 版本为 1.20.1 之前的版本。因而会在处理 DNS 响应时，受到 ngx_resolver_copy() 中差一错误的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress WP Statistics Plugin 受到 SQL 注入漏洞的影响，这是由于未正确审查用户提供的输入所致。远程攻击者可利用此问题操纵 SQL 查询，从而导致敏感信息泄露和修改数据。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 WordPress 应用程序受到 PHPMailer 中对象注入漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
112836	Atlassian Jira < 8.13.3 身份验证中断	high
112835	Atlassian Jira 8.14.x < 8.14.1 信息泄露	medium
112834	Atlassian Jira 8.6.x < 8.13.3 信息泄露	medium
112833	Atlassian Jira < 8.5.11 信息泄露	medium
112832	Atlassian Jira < 8.14.x < 8.15.0 多个漏洞	medium
112831	Atlassian Jira < 8.6.x < 8.13.3 多个漏洞	medium
112830	Atlassian Jira < 8.5.11 多个漏洞	medium
112828	Atlassian Jira < 8.6.x < 8.13.4 多个漏洞	medium
112827	Atlassian Jira < 8.5.12 多个漏洞	medium
112826	Atlassian Jira 8.14.x < 8.15.0 无安全标记的 Cookie	low
112825	Atlassian Jira 8.6.x < 8.13.4 无安全标记的 Cookie	low
112824	Atlassian Jira < 8.5.12 无安全标记的 Cookie	low
112823	Atlassian Jira 8.14.x < 8.15.1 信息泄露	medium
112822	Atlassian Jira < 8.13.5 信息泄露	medium
112821	Atlassian Jira 8.14.x < 8.15.1 多个漏洞 (2/2)	medium
112820	Atlassian Jira < 8.6.x < 8.13.5 多个漏洞	medium
112819	Atlassian Jira < 8.5.13 多个漏洞	medium
112818	Atlassian Jira < 8.14.x < 8.16.1 多个漏洞	medium
112817	Atlassian Jira < 8.6.x < 8.13.6 多个漏洞	medium
112816	Atlassian Jira < 8.5.14 多个漏洞	medium
112815	Atlassian Jira < 8.14.x < 8.17.0 多个漏洞	medium
112814	Atlassian Jira < 8.6.x < 8.13.7 多个漏洞	medium
112813	Atlassian Jira < 8.5.15 多个漏洞	medium
112812	ForgeRock OpenAM < 7.0 远程代码执行	critical
112810	WP Fluent Forms Plugin for WordPress < 3.6.67 跨站请求伪造	high
112808	Rails 批量分配	high
112807	WooCommerce Stock Manager Plugin for WordPress < 2.6.0 跨站请求伪造	high
112806	Apache 2.4.x < 2.4.48 多个漏洞	critical
112803	Simple 301 Redirects Plugin for WordPress < 2.0.4 多个漏洞	high
112802	Drupal 8.9.x < 8.9.16 跨站脚本	high
112801	Drupal 9.0.x < 9.0.14 跨站脚本	high
112800	Drupal 9.1.x < 9.1.9 跨站脚本	high
112797	Joomla! 3.x < 3.9.27 多个漏洞	medium
112796	Nginx < 1.20.1 差一堆写入	high
112795	WP Statistics Plugin for WordPress < 13.0.8 SQL 注入	high
112793	WordPress 5.7.x < 5.7.2 对象注入	critical
112792	WordPress 5.6.x < 5.6.4 对象注入	critical
112791	WordPress 5.5.x < 5.5.5 对象注入	critical
112790	WordPress 5.4.x < 5.4.6 对象注入	critical
112789	WordPress 5.3.x < 5.3.8 对象注入	critical
112788	WordPress 5.2.x < 5.2.11 对象注入	critical
112787	WordPress 5.1.x < 5.1.10 对象注入	critical
112786	WordPress 5.0.x < 5.0.13 对象注入	critical
112785	WordPress 4.9.x < 4.9.18 对象注入	critical
112784	WordPress 4.8.x < 4.8.17 对象注入	critical
112783	WordPress 4.7.x < 4.7.21 对象注入	critical
112782	WordPress 4.6.x < 4.6.21 对象注入	critical
112781	WordPress 4.5.x < 4.5.24 对象注入	critical
112780	WordPress 4.4.x < 4.4.25 对象注入	critical
112779	WordPress 4.3.x < 4.3.26 对象注入	critical

检测

Web App Scanning 的 Component Vulnerability 系列

high

medium

medium

medium

medium

medium

medium

medium

medium

low

low

low

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

critical

high

high

high

critical

high

high

high

high

medium

high

high

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical