远程主机上安装的 Apache Tomcat 版本为 9.0.109 之前的 9.0.0-M1、10.1.0-M1 之前的 10.1.45、11.0.0-M1 之前的 11.0.11。因此，该服务器受到多个漏洞的影响：

 - 通过日志消息中的转义序列进行的控制台操纵。(CVE-2025-55754)

 - 如果启用了 PUT，通过 Rewrite Valve 可能造成的远程代码执行目录遍历。(CVE-2025-55752)

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为 9.0.110 之前的 9.0.0-M1、10.1.0-M1 之前的 10.1.47、11.0.0-M1 之前的 11.0.12。因此，由于延迟清理多部分上传临时文件，它受到了拒绝服务漏洞的影响。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

根据其自报版本号，安装在远程主机上的 Squid 版本早于 7.2。因此，由于未能遮蔽HTTP认证凭证，信息披露会对其产生影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Adobe Magento 开源/商业服务由于不安全的不可信数据反序列化，容易出现未认证的远程代码执行漏洞。攻击者可以利用这一问题在Web服务器进程的上下文中执行任意代码。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本为低于 8.5.25 的 2.x 版、低于 9.2.7 的 9.2.x 版或低于 10.0.2 的 10.x 版。因而会受到拒绝服务漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自报告的版本号，运行在远程主机上的Atlassian Jira应用在 之前 10.3.x11.1.010.3.1211.x，或之前。9.12.289.12.x 因此，该应用程序受到路径遍历漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其横幅，运行在远程主机上的 Authentik 版本早于2024.6.52024.8.x或2024.8.3早于 。因此，它会受到通过 X-Forwarded-For 头部的认证绕过漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

之前 3.3.3 的话语版本因“轨道send_file”方法中文件下载处理不当，容易受到备份披露漏洞。攻击者可能利用该漏洞下载包含敏感信息的备份文件，可能导致数据泄露。

LTS 2.516.3 之前和之前的 2.582 Jenkins 版本会受到未检查认证用户配置文件下拉菜单权限的影响。远程且未认证的攻击者可以获得关于 Jenkins 配置代理和构建的有限信息。

根据其横幅，运行在远程主机上的Zimbra Collaboration版本早于10.0.x10.0.1310.1.x或早于。10.1.5 因此，由于ICS文件中HTML内容的净化不足，它受到了存储跨站脚本（XSS）漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Fortra GoAnywhere MFT 是一种 Managed File Transfer (MFT) 解决方案，可帮助组织构建内部和外部数据传输交换。7.8.4 之前和 7.6.3 之前的 GoAnyWhere MFT 版本会受到反序列化漏洞的影响。通过构建特定负载，未经身份验证的远程攻击者可在目标易受攻击的实例上实现远程代码执行。

由于未正确输入验证，低于 5.5.10 的 Dell UnityVSA 版本容易受到远程代码执行漏洞的影响。未经认证的远程攻击者可通过特别构建的请求来利用此漏洞。

Grafana版本8.0.x在、8.0.7之前8.2.78.3.18.1.x8.1.88.2.x8.3.x、之前和之前存在路径穿越问题，可能允许攻击者读取Grafana可访问的宿主系统上的任意文件。

远程攻击者可以通过向受影响的应用程序发送专门设计的请求来利用该漏洞。

成功的利用可能使攻击者读取主机系统上的敏感文件。

根据其自报告版本，Grafana安装在远程主机上，位于10.4.17之前，或11.2.x之前11.2.8，或11.4.311.5.311.3.x11.3.511.4.x11.5.x之前。因此，它受到不当授权的影响。

- Grafana 的数据源代理 API 允许通过在 URL 路径中添加一个额外的斜杠字符来绕过授权检查。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自报告版本，Grafana安装在远程主机上，安装时间早 11.6.2于。因此，它受到错误输入验证的影响。

- 过长的仪表盘标题或面板名称会导致 Chromium 浏览器因 Grafana 中的不当输入验证漏洞而失去响应。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告版本，Grafana安装在远程主机上，位于11.3.8之前，或11.4.612.0.212.1.x11.4.x11.5.612.1.211.5.x11.6.x11.6.312.0.x之前。因此，该主机受到多个漏洞的影响。

- Grafana 组织切换功能中的一个开放重定向漏洞。

- 开放重定向可以与路径穿越漏洞串联，通过脚本化仪表盘实现XSS。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Hitachi Pentaho Business Analytics Server 版本低于 8.3.x 的 9.3.0.2 或低于 9.4.x 的 9.4.0.1 版本受到远程代码执行漏洞影响。攻击者可通过将特别构建的 HTTP 请求发送到受影响的应用程序来利用该问题。成功利用此漏洞可让攻击者可在目标系统上执行任意代码。

根据其横幅，运行在远程主机上的Apache Kylin版本是 2.3.x < 3.1.0。因此，它受到了通过REST API的命令注入漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Zyxel 版本为 < 5.38。因此，受到目录遍历的影响，可能允许攻击者通过特制的 URL 下载或上传文件。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Joomla! 实例版本为低于 4.4.14 的 4.x 或低于 5.3.4 的 5.x。因此该软件受到多个漏洞的影响。

 - checkAttribute 方法中内容过滤不足会导致多个组件出现 XSS 漏洞。（CVE-2025-54476）

 - 认证请求处理不当导致通行密钥认证方法出现用户枚举向量。（CVE-2025-54477）

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

TRUFusion Enterprise 解决方案可在 PLM 系统中轻松安全地管理 CAD 文件及相关产品设计数据的交换。由于缺少控制，未经认证的攻击者可能访问端点，该端点可返回有权访问该实例的所有合作伙伴。

pyLoad 版本在 0.5.0b3.dev76 之前受到不当访问控制（Improper Access Control）漏洞的影响。任何未认证的用户都可以浏览到特定URL以暴露Flask配置，包括“SECRET_KEY”变量。攻击者可利用此漏洞，针对应用程序执行进一步攻击。

低于 r1720 的 ProjectSend 版本受未正确授权漏洞的影响。未经身份验证的攻击者可利用此问题访问敏感信息并在应用程序中执行未经授权的操作。

Jenkins 2.217 至 2.442 版以及 LTS 2.222.1 至 LTS 2.426.3 版中存在一个漏洞，未经身份验证的远程攻击者可借此诱骗在目标 Jenkins 实例上进行身份验证的用户，并通过 Websocket 执行 Jenkins CLI 跨站任意命令。

之前 3.9.2 的AIOHTTP版本存在目录遍历漏洞，允许未经认证的攻击者通过专门设计的请求访问敏感文件。

Cacti 1.3.x-DEV 版本存在未认证的远程代码执行漏洞。攻击者可通过将特别构建的 HTTP 请求发送到受影响的应用程序来利用该问题。成功利用此漏洞可让攻击者可在目标系统上执行任意代码。

之前 1.4.5 的Nuxt图标版本因图标获取功能中用户提供的URL验证不足，易受服务器端请求伪造（SSRF）侵害。攻击者可以通过提供指向内部或受限资源的恶意URL来利用该漏洞，可能导致未经授权的访问或数据外泄。

根据应用程序自我报告的版本号，远程主机上运行的 FreePBOX 应用程序版本低于 15.0.66，或是低于 16.0.89 的 16.x、低于 17.0.3 的 17.x。因此受到对用户所提供的数据审查不充分的问题影响，未经身份验证的攻击者可以访问 FreePBX Administrator，进而发动任意数据库操纵和远程代码执行攻击。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
115026	Apache Tomcat 9.0.0-M1 < 9.0.109 多个漏洞	high
115025	Apache Tomcat 10.1.0-M1 < 10.1.45 多个漏洞	high
115024	Apache Tomcat 11.0.0-M1 < 11.0.11 多个漏洞	high
115023	Apache Tomcat 9.0.0-M1 < 9.0.110 拒绝服务	medium
115022	Apache Tomcat 10.1.0-M1 < 10.1.47 拒绝服务	medium
115021	Apache Tomcat 11.0.0-M1 < 11.0.12 拒绝服务	medium
115020	鱿鱼< 7.2 信息披露	high
115019	Adobe Commerce / Magento 不安全反序列化（SessionReaper）	critical
115018	Atlassian 汇流 10.x < 10.0.2 拒绝服务	high
115017	Atlassian 汇流 9.2.x < 9.2.7 拒绝服务	high
115016	Atlassian 汇流 2.x < 8.5.25 拒绝服务	high
115015	Atlassian Jira 11.x < 11.1.0 路径穿越	high
115014	Atlassian Jira 10.3.x < 10.3.12 路径穿越	high
115013	Atlassian Jira 9.12.x < 9.12.28 路径穿越	high
115012	Authentik 2024.8.x < 2024.8.3 认证绕过	critical
115011	Authentik < 2024.6.5 认证绕过	critical
115009	备份披露< 3.3.3 话语	medium
115008	Jenkins 侧面板未授权代理/队列暴露	medium
115005	Zimbra 协作 10.0.x < 10.0.13 存储的跨站脚本	medium
115004	Zimbra 协作 10.1.x < 10.1.5 存储的跨站脚本	medium
115003	Fortra GoAnywhere MFT 许可证 Servlet 反序列化漏洞	critical
115000	Dell UnityVSA < 5.5.1.0 远程代码执行	critical
114999	Grafana 8.0.x < 8.0.7 / 8.1.x < 8.1.8 / 8.2.x < 8.2.7 / 8.3.x < 8.3.1 路径穿越	high
114998	Grafana 11.5.x < 11.5.3 不当授权	medium
114997	Grafana 11.4.x < 11.4.3 不当授权	medium
114996	Grafana 11.3.x < 11.3.5 不当授权	medium
114995	Grafana 11.2.x < 11.2.8 不当授权	medium
114994	Grafana < 10.4.17 不当授权	medium
114993	Grafana < 11.6.2 错误输入验证	low
114992	Grafana 12.1.x < 12.1.2 多重漏洞	high
114991	Grafana 12.0.x < 12.0.2 多重漏洞	high
114990	Grafana 11.6.x < 11.6.3 多重漏洞	high
114989	Grafana 11.5.x < 11.5.6 多重漏洞	high
114988	Grafana 11.4.x < 11.4.6 多重漏洞	high
114987	Grafana < 11.3.8 多重漏洞	high
114985	Hitachi Pentaho Business Analytics Server 8.3.x < 9.3.0.2 / 9.4.x < 9.4.0.1 远程代码执行	critical
114984	Apache Kylin 2.3.x < 3.1.0 命令注入	high
114983	Zyxel < 5.38 目录遍历	critical
114982	Joomla! 4.x < 4.4.14 多个漏洞	medium
114981	Joomla! 5.x < 5.3.4 多个漏洞	medium
114980	TRUFusion 企业敏感数据泄露	high
114978	pyLoad < 0.5.0b3.dev76 访问控制不当	high
114977	ProjectSend < r1720 不当授权	critical
114964	Jenkins 跨站 WebSocket 劫持	critical
114961	AIOHTTP < 3.9.2 Directory Traversal	high
114960	Cacti 1.3.x-DEV 远程代码执行	critical
114958	Nuxt 图标< 1.4.5 服务器端请求伪造	high
114957	FreeBPX < 17.0.3 身份验证绕过	critical
114956	FreeBPX < 16.0.89 身份验证绕过	critical
114955	FreeBPX < 15.0.66 身份验证绕过	critical

检测

Web App Scanning 的 Component Vulnerability 系列

high

high

high

medium

medium

medium

high

critical

high

high

high

high

high

high

critical

critical

medium

medium

medium

medium

critical

critical

high

medium

medium

medium

medium

medium

low

high

high

high

high

high

high

critical

high

critical

medium

medium

high

high

critical

critical

high

critical

high

critical

critical

critical