根据其自我报告的版本号，Bootstrap 的版本为 3.4.1 之前的 3.x 或 4.3.1 之前的 4.x。因此，可能通过工具提示和弹出框插件的 data-template 属性，受到跨站脚本 (XSS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 lighttpd 版本低于 1.4.51。因此，根据版本说明，该应用程序受到以下漏洞的影响：

 - core 中的不明标头处理漏洞

 - mod_userdir 中的不明用户名漏洞

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 lighttpd 版本低于 1.4.50。因此，根据版本说明，该应用程序受到以下漏洞的影响：

 - mod_alias 中的不明潜在路径遍历

 - core 中的不明释放后使用

 - mod_alias 中的不明路径遍历

 - core 中的不明释放后使用

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 版本是 2.4.17 或 2.4.18。因此，它受到适用于 HTTP/2 协议的模块中的拒绝服务漏洞影响，这是由于线程匮乏所致。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 版本为低于 2.4.35 的 2.4.x。- 通过发送最大的连续 SETTINGS 帧，可使 HTTP/2 连接不间断运行并且从不超时。此问题可遭到滥用，使服务器拒绝服务。此问题仅影响已启动 h2 协议的服务器。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 版本为低于 2.4.34 的 2.4.x。因此，该应用程序受到以下漏洞的影响：

 - 通过特别构建 HTTP/2 请求，可将工作进程分配为长于所需的 60 秒，导致工作进程耗尽及拒绝服务。(CVE-2018-1333)

 - 通过特别构建 HTTP 请求，mod_md 质询处理程序将取消空指针引用并造成子进程段错误。这可用于造成服务器拒绝服务。(CVE-2018-8011)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程 Web 服务器上运行的 PHP 版本为低于 5.6.39 的 5.6.x、低于 7.0.33 的 7.0.x、低于 7.1.25 的 7.1.x、低于 7.2.13 的 7.2.x 或低于 7.3.0 的 7.3.x。因此，该应用程序受到多个漏洞影响：

 - imap_open 函数中有一个任意命令注入漏洞，产生该漏洞的原因是在将邮箱名称发送至 rsh 或 ssh 命令之前，对邮箱名称的筛选不当。经身份验证的远程攻击者可利用此漏洞，通过发送特制的 IMAP 服务器名称，在目标系统上执行任意命令。(CVE-2018-19518)

 - phar_parse_pharfile 函数中存在堆过度读取。未经身份验证的远程攻击者可利用此情况，在尝试解析 .phar 文件时，读取通过实际数据的已分配或未分配内存。(CVE-2018-20783)

 - Windows 上存在空指针取消引用。未经身份验证的远程攻击者可利用此缺陷导致应用程序崩溃，并执行拒绝服务。(CVE-2018-19395)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程 Web 服务器上运行的 PHP 版本为低于 7.0.31 的 7.0.x 或低于 7.2.8 的 7.2.x。因而受到释放后使用任意代码执行漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程 Web 服务器上运行的 PHP 版本为低于 7.0.23 的 7.0.x 或低于 7.1.9 的 7.1.x。因而会在反序列化无效数组大小时受到堆释放后使用漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程 Web 服务器上运行的 PHP 版本为低于 5.6.37 的 5.6.x 或低于 7.1.20 的 7.1.x。因而会受到拒绝服务漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 PHP 版本是低于 5.6.17 的 5.6.x。因此，该服务器受到多个漏洞的影响：

 - 处理背景颜色时，文件 gd_interpolation.c 的 gdImageRotateInterpolated() 函数中存在一个越界读取错误。远程攻击者可利用此错误，泄露内存内容或使应用程序崩溃。(CVE-2016-1903)

 - 处理极长的 HTTP 请求时，文件 fpm_log.c 的 fpm_log_write() 函数中存在一个不明缺陷。本地攻击者可利用此缺陷，通过访问日志文件取得敏感信息。(CVE-2016-5114)

 - 处理 WDDX 数据包反序列化时，文件 wddx.c 的 php_wddx_pop_element() 函数中存在一个释放后使用错误。远程攻击者可利用此错误，取消引用已释放的内存，进而执行任意代码。

 - 文件 xmlrpc-epi-php.c 的 PHP_to_XMLRPC_worker() 函数中存在一个类型混淆缺陷。远程攻击者可利用此缺陷，泄露内存内容、使应用程序进程崩溃或造成其他影响。

 - 处理 WDDX 数据包反序列化时，文件 wddx.c 中存在一个类型混淆缺陷。远程攻击者可利用此缺陷执行任意代码。

 - 处理请求时，因为 LSAPI 模块无法清除其在子进程中的密码，文件 lsapilib.c 中存在一个缺陷。远程攻击者可利用此缺陷，取得内存内容的访问权限，进而导致泄露敏感信息。

 - 因为无法正确审查通过多种不明参数传递的输入，文件 lsapilib.c 的 parseRequest() 函数中存在一个缺陷。远程攻击者可利用此缺陷造成拒绝服务。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 Drupal 应用程序受到多个漏洞的影响：

 - 第三方 PEAR Archive_Tar 库中存在缺陷。

 - PHP 内置的 phar 流封装存在缺陷，可能导致在对不受信任的 phar:// URI 执行文件操作时执行远程代码。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 Joomla! 应用程序受到多个漏洞的影响：

 - mod_banners 中的存储型 XSS 会影响 Joomla 2.5.0 至 3.9.1 版

 - com_contact 中的存储型 XSS 会影响 Joomla 2.5.0 至 3.9.1 版

 - 全局配置 textfilter 设置中的存储型 XSS 问题会影响 Joomla 2.5.0 至 3.9.1 版

 - 全局配置帮助 url 中的存储型 XSS 问题会影响 Joomla 2.5.0 至 3.9.1 版

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 版本为低于 2.4.33 的 2.4.x。因此，该应用程序受到以下漏洞的影响：

 - 由于未正确处理小于双字节的 'Accept-Language' 标头值，modules/aaa/mod_authnz_ldap.c 脚本的 derive_codepage_from_lang() 函数中存在越界写入缺陷。具有特制请求的远程攻击者可能会导致流程崩溃。(CVE-2017-15710)

 - 由于未正确处理 <FilesMatch> 表达式，server/protocol.c 脚本的 ap_rgetline_core() 函数中存在 ACL 绕过缺陷。远程攻击者可能会绕过限制并上传文件。(CVE-2017-15715)

 - 将 mod_session 数据转发至 CGI 应用程序时，modules/session/mod_session.c 脚本的 session_fixups() 函数中存在数据篡改缺陷。具有特制请求的远程攻击者可能会篡改 CGI 应用程序的 mod_session 数据。(CVE-2018-1283)

 - 处理 HTTP 标头时，如果达到大小界限，即存在越界读取缺陷。具有特制请求的远程攻击者会导致流程崩溃。(CVE-2018-1301)

 - 处理 HTTP/2 流关闭时，存在释放后使用缺陷。远程攻击者可能会写入已释放的内存，并导致进程崩溃。(CVE-2018-1302)

 - 处理空标头时，modules/cache/mod_cache_socache.c 脚本的 read_table() 函数中存在越界读取缺陷。具有特制请求的远程攻击者可能会导致流程崩溃。(CVE-2018-1303)

 - 发送 HTTP 摘要验证询问时，由于未正确生成随机数，modules/aaa/mod_auth_digest.c 脚本中存在缺陷。远程攻击者可能会对服务器执行重放攻击。(CVE-2018-1312)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 版本为低于 2.4.28 的 2.4.x。因此，受到 .htaccess 文件内与 <Limit {method}> 指令相关的 HTTP 漏洞影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 版本为低于 2.4.27 的 2.4.x。因此，该应用程序受到以下漏洞的影响：

 - httpd 中存在拒绝服务漏洞，这是 mod_auth_digest 未能在连续赋值 key=value 之前或期间，初始化或重置“Digest”类型的 [Proxy-]Authorization 标头中的值占位符所致。未经身份验证的远程攻击者可利用此问题，通过提供不具有“=”赋值的初始密钥，泄露敏感信息或造成拒绝服务情况。(CVE-2017-9788)

 - httpd 中存在释放后读取错误，会在关闭大量连接时遭到触发。未经身份验证的远程攻击者可利用此问题造成不明影响。(CVE-2017-9789)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 版本为低于 2.4.26 的 2.4.x。因此，该应用程序受到以下漏洞的影响：

 - 存在身份验证绕过漏洞，这是在身份验证阶段外使用 ap_get_basic_auth_pw() 函数的第三方模块所致。未经身份验证的远程攻击者可利用此漏洞绕过身份验证要求。(CVE-2017-3167)

 - 存在空指针取消引用缺陷，这是第三方模块在对 HTTPS 端口提出 HTTP 请求期间，调用 mod_ssl ap_hook_process_connection() 函数所致。未经身份验证的远程攻击者可利用此缺陷造成拒绝服务。(CVE-2017-3169)

 - mod_http2 中存在空指针取消引用缺陷，处理特别构建的 HTTP/2 请求时会遭到触发。未经身份验证的远程攻击者可利用此问题造成拒绝服务。请注意，此漏洞不影响 2.2.x。(CVE-2017-7659)

 - ap_find_token() 函数中存在越界读取错误，这是未正确处理标头序列所致。未经身份验证的远程攻击者可利用此问题，通过特制的标头序列，造成拒绝服务情况。(CVE-2017-7668)

 - mod_mime 中存在越界读取错误，这是未正确处理 Content-Type 响应标头所致。未经身份验证的远程攻击者可利用此问题，通过特别构建的 Content-Type 响应标头，导致拒绝服务情况或泄露敏感信息。(CVE-2017-7679)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 版本为低于 2.4.25 的 2.4.x。因此，该应用程序受到以下漏洞的影响：

 - mod_session_crypto 模块中存在缺陷，这是使用已配置的密码与 CBC 或 ECB 操作模式（默认 AES256-CBC）来加密数据和 Cookie 所致。未经身份验证的远程攻击者可利用此缺陷，通过 padding oracle 攻击，在无需知道加密密钥的情况下解密信息，从而导致泄露可能的敏感信息。(CVE-2016-0736)

 - 在客户端入口分配期间，mod_auth_digest 模块中存在拒绝服务漏洞。未经身份验证的远程攻击者可利用此漏洞，通过特别构建的输入，消耗共享内存资源，从而导致服务器崩溃。(CVE-2016-2161)

 - Apache HTTP 服务器受到一个名为“httpoxy”的中间人漏洞的影响，这是无法正确依据 RFC 3875 第 4.1.18 节解决命名空间冲突所致。HTTP_PROXY 环境变量是基于 HTTP 请求的“Proxy”标头中不受信任的用户数据所设置。某些 Web 客户端库会使用 HTTP_PROXY 环境变量来指定远程代理服务器。未经身份验证的远程攻击者可利用此问题，通过 HTTP 请求中构建的“Proxy”标头，将应用程序的内部 HTTP 流量重定向到其可观察或操控的任意代理服务器。(CVE-2016-5387)

 - mod_http2 模块中存在拒绝服务漏洞，这是未正确处理 LimitRequestFields 指令所致。未经身份验证的远程攻击者可利用此漏洞，通过 HTTP/2 请求中特别构建的 CONTINUATION 框架，将无限请求标头注入服务器，从而导致耗尽内存资源。(CVE-2016-8740)

 - 存在缺陷，这是未正确处理用户代理标头中的空白模式所致。未经身份验证的远程攻击者可利用此缺陷，通过特别构建的用户代理标头造成程序错误处理请求序列，从而导致解释响应出错、污染缓存，或将某个请求的内容泄露给第二个下游用户代理。(CVE-2016-8743)

 - mod_userdir 模块中存在 CRLF 漏洞。未经身份验证的远程攻击者可利用此问题，发动 HTTP 响应拆分攻击。(CVE-2016-4975)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 版本是 2.4.18 或 2.4.20。此外，HTTP/2 已在 TLS 或 SSL 上启用。因此，由于无法正确验证 X.509 证书，它受到 HTTP/2 协议实验模块中的身份验证绕过漏洞影响，并且会导致访问原本不允许访问的资源。未经身份验证的远程攻击者可利用此问题泄露潜在的敏感信息。

根据其标题，远程主机上安装的 Apache 2.4.x 版本低于 2.4.16。因此，该应用程序受到以下漏洞的影响：

 - 由于未正确处理 WebSocket PING 帧，在“mod_lua”模块的 lua_websocket_read() 函数中存在缺陷。远程攻击者可利用此缺陷，在 Lua 脚本调用 wsupgrade() 函数后发送一个构建的 WebSocket PING 帧以造成子进程崩溃，从而导致拒绝服务。(CVE-2015-0228)

 由于未能初始化协议结构成员而导致 read_request_line() 函数中存在空指针取消引用缺陷。远程攻击者可利用此缺陷，在启用 INCLUDES 过滤器且包含指定本地 URI 的 ErrorDocument 400 指令的安装下发送缺少方法的请求，以造成拒绝服务。(CVE-2015-0253)

 - 由于未能正确解析区块标头，分块传输编码实现中存在一个缺陷。远程攻击者可利用此缺陷进行 HTTP 请求走私攻击。(CVE-2015-3183)

 - 由于未考虑 Require 指令可能与授权设置而非验证设置有关，因此，ap_some_auth_required() 函数中存在一个缺陷。如果存在依赖 2.2 API 行为的模块，远程攻击者可以利用此缺陷绕过预期访问限制。(CVE-2015-3185)

 - 由于密钥流生成中的初始双字节偏差，RC4 算法中存在一个缺陷。攻击者可利用此缺陷，通过将先验明文发行版本和密钥流发行版本统计数据相结合的 Bayesian 分析，执行密码文本的明文恢复。请注意，根据 RFC 7465 的要求，RC4 加密套件已禁止。Apache 版本 2.4.13 中已修复此问题，但 2.4.13、2.4.14 和 2.4.15 从未公开发行。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 2.4.x 版本低于 2.4.12。因此，该应用程序受到以下漏洞的影响：

 - 在 mod_headers 模块中存在缺陷，可能导致在请求进程中 HTTP 尾端延迟替换 HTTP 标头，远程攻击者可利用此缺陷注入任意标头。这可能导致某些模块功能出错或显示为功能出错。(CVE-2013-5704)

 - 在 mod_cache 模块中存在空指针取消引用缺陷。远程攻击者使用空 HTTP Content-Type 标头，能够使用此漏洞引起缓存转发代理配置崩溃，导致如果使用线程 MPM 则会拒绝服务。(CVE-2014-3581)

 - 在 mod_proxy_fcgi 模块中存在越界内存读取缺陷。攻击者使用远程 FastCGI 服务器发送长响应标头，能够利用此漏洞导致缓冲区过度读取，从而造成拒绝服务。(CVE-2014-3583)

 - 当使用不同参数处理用于多个 Require 指令的 LuaAuthzProvider 时，在 mod_lua 模块中存在缺陷。攻击者可利用此漏洞绕过特意设置的访问限制。(CVE-2014-8109)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 2.4.x 版本低于 2.4.10。因此，该应用程序受到以下漏洞的影响：

 -“mod_proxy”模块中存在一个缺陷，可允许攻击者向配置为反向代理的服务器发送特别构建的请求，该请求可造成子进程崩溃。这可能导致拒绝服务攻击。(CVE-2014-0117)

 - 配置请求正文解压缩之后，“mod_deflate”模块中存在缺陷。远程攻击者可利用此缺陷使服务器消耗大量资源。(CVE-2014-0118)

 - 当可公开访问的服务器状态页面准备就绪时，“mod_status”模块中存在一个缺陷。攻击者可利用此缺陷发送特别构建的、旨在造成堆缓冲区溢出的请求。(CVE-2014-0226)

 - “mod_cgid”模块中存在一个缺陷，不使用标准输入的 CGI 脚本可被操纵以造成子进程挂起。远程攻击者可能可以滥用此缺陷造成拒绝服务。(CVE-2014-0231)

 - 使用默认的 AcceptFilter 时，WinNT MPM 版本 2.4.1 至 2.4.9 中存在缺陷。攻击者或可特别构建请求，在应用程序中造成内存泄露，此举最终可能导致拒绝服务攻击。(CVE-2014-3523)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 2.4.x 版本低于 2.4.9。因此，该应用程序受到以下漏洞的影响：

 - 在“mod_dav”模块存在错误，原因是在追踪 CDATA 长度时存在前导空白。远程攻击者通过特别构建的 DAV WRITE 请求可能引起服务停止响应。(CVE-2013-6438)

 - 在“mod_log_config”模块存在一个缺陷，会在记录存在未赋值的值的 Cookie 时引发。远程攻击者通过特别构建的请求可造成服务崩溃。(CVE-2014-0098)

请注意，扫描程序并未对这些问题进行实际测试，而是依赖服务器标题栏中的版本。

根据其标题，远程主机上运行的 Apache 2.4.x 版本为 2.4.6。因此，它受到 mod_cache 模块中涉及空指针取消引用的缺陷的影响。攻击者也许能够特别构建旨在造成拒绝服务的请求。

请注意，扫描程序并未测试此问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 Apache 2.4.x 版本低于 2.4.6。因此，它可能会受到以下漏洞的影响：

 - 由于“mod_dav”模块关系到合并请求，因而存在拒绝服务漏洞。(CVE-2013-1896)

 - 存在一个与“mod_session_dbd”模块、标记和会话保存相关的错误，会造成不明影响。(CVE-2013-2249)

请注意，扫描程序并未对这些问题进行实际测试，而是依赖服务器标题栏中的版本。

根据其标题，远程主机上运行的 Apache 2.4.x 版本低于 2.4.4。因此，它会受到以下跨站脚本漏洞的影响：

 - 存在与 mod_info、mod_status、mod_imagemap、mod_ldap 和 mod_proxy_ftp 模块以及未转义的主机名和 URI 有关的错误，可造成跨站脚本攻击。(CVE-2012-3499)

 - 存在与 mod_proxy_balancer 模块的管理器接口有关的错误，可造成跨站脚本攻击。(CVE-2012-4558)

请注意，扫描程序并未对这些问题进行实际测试，而是依赖服务器标题栏中的版本。

根据其标题，远程主机上运行的 Apache 2.4.x 版本低于 2.4.3。因此，该应用程序受到以下漏洞的影响：

 - 存在与“mod_negotiation”、“Multiviews”和不信任的上传有关的输入验证错误，可导致跨站脚本攻击。(CVE-2012-2687)

 - 存在与“mod_proxy_ajp”和“mod_proxy_http”有关的错误，可允许连接保持打开状态。此条件在结合特别构建的请求时可造成信息泄露。(CVE-2012-3502)

请注意，扫描程序并未对这些问题进行实际测试，而是依赖服务器标题栏中的版本。

根据其标题，远程主机上运行的 Apache 2.4.x 版本低于 2.4.2。因此，它可能受到不安全的库加载问题的影响。

“apachectl”实用工具可通过“envvars”文件在 LD_LIBRARY_PATH 中接收到零长度目录名。本地攻击者访问此工具后可以利用它加载恶意的动态共享对象 (DSO)，导致执行任意代码。

请注意，扫描程序并未对此缺陷进行实际测试，而是依赖服务器标题栏中的版本。

根据其标题，远程 Web 服务器上运行的 PHP 版本为低于 5.6.38 的 5.6.x、低于 7.0.32 的 7.0.x、低于 7.1.22 的 7.1.x 或低于 7.2.10 的 7.2.x。因此，它受到跨站脚本漏洞的影响。攻击者可利用此漏洞注入在受影响站点的安全环境中执行的恶意代码。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

据横幅广告可知，远程 Web 服务器上运行的 PHP 版本为低于 7.2.5 的 7.2.x。因此，该主机受到多个漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

据横幅广告可知，远程 Web 服务器上运行的 PHP 版本为低于 7.2.4 的 7.2.x。因此，它会通过可转储的 FPM 子进程受到 opcache 访问控制绕过的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

据横幅广告可知，远程 Web 服务器上运行的 PHP 版本为低于 7.2.3 的 7.2.x。因而会受到堆栈缓冲区溢出漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

据横幅广告可知，远程 Web 服务器上运行的 PHP 版本为低于 7.2.1 的 7.2.x。因此，该主机受到多个漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

据横幅广告可知，远程 Web 服务器上运行的 PHP 版本为低于 7.1.7 的 7.1.x。因此，该应用程序受到以下漏洞的影响：

 - 处理特别构建的 GIF 文件时，在 gd_gif_in.c 文件中，gdImageCreateFromGifCtx() 函数的 GD 图像库 (LibGD) 中存在越界读取错误。未经身份验证的远程攻击者可利用此错误，泄露敏感内存内容或造成链接至库的进程崩溃。(CVE-2017-7890)

 - 在 regexec.c 文件中，match_at() 函数的 Oniguruma 中存在越界读取错误。未经身份验证的远程攻击者可利用此错误，泄露敏感内存内容或造成链接至库的进程崩溃。(CVE-2017-9224)

 - 在正则表达式编译期间，next_state_val() 函数的 Oniguruma 中存在越界写入错误。未经身份验证的远程攻击者可利用此漏洞执行任意代码。(CVE-2017-9226)

 - 在 utf8.c 文件中，mbc_enc_len() 函数的 Oniguruma 中存在越界读取错误。未经身份验证的远程攻击者可利用此错误，泄露内存内容或造成链接至库的进程崩溃。(CVE-2017-9227)

 - 在正则表达式编译期间，bitset_set_range() 函数的 Oniguruma 中存在越界写入错误。未经身份验证的远程攻击者可利用此漏洞执行任意代码。(CVE-2017-9228)

 - 正则表达式编译期间，在 regexec.c 文件中，left_adjust_char_head() 函数的 Oniguruma 中存在无效的指针取消引用缺陷。未经身份验证的远程攻击者可利用此问题，造成链接至库的进程崩溃，进而导致拒绝服务情况。(CVE-2017-9229)

 - 在 crypto/evp/p_seal.c 文件中，EVP_SealInit() 函数的 OpenSSL 中存在缺陷，这是返回未记录值“-1”所致。未经身份验证的远程攻击者可利用此缺陷造成不明影响。(CVE-2017-11144)

 - 在 ext/date/lib/parse_date.c 中，php_parse_date() 函数的 PHP 中存在越界读取错误。未经身份验证的远程攻击者可利用此错误泄露内存内容或造成拒绝服务情况。(CVE-2017-11145)

 - 在 ext/standard/var_unserializer.c 文件中，zval_get_type() 函数的 PHP 中存在释放后使用错误。未经身份验证的远程攻击者可利用此漏洞执行任意代码。(CVE-2017-12934)

 - PHP 中的文件 ext/standard/var_unserializer.re 的 finish_nested_data() 函数中存在越界读取错误。未经身份验证的远程攻击者可利用此错误泄露内存内容或造成拒绝服务情况。(CVE-2017-12933)

 - 由于未正确验证用户提供的输入，PHP 中的 INI 解析 API 内存在一字节溢出情况，尤其是在文件 Zend/zend_ini_parser.y 的 zend_ini_do_op() 函数中。未经身份验证的远程攻击者可利用此问题造成拒绝服务情况或任意代码执行。(CVE-2017-11628)

 - 由于在解析区域设置时未正确验证用户提供的输入，PHP 的 msgfmt_parse_message() 函数中存在基于堆栈的缓冲区溢出情况。未经身份验证的远程攻击者可利用此问题造成拒绝服务情况或任意代码执行。(CVE-2017-11362)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

据横幅广告可知，远程 Web 服务器上运行的 PHP 版本为低于 7.1.6 的 7.1.x。因此，该应用程序受到以下漏洞的影响：

 - 处理畸形 php.ini 文件时，文件 main/php_ini.c 的 _zend_hash_add_or_update_i 中存在缺陷。攻击者可利用此问题，造成分段错误，进而导致拒绝服务情况或可能执行任意代码。(错误 #74600)

 - 处理特别构建的输入时，函数 ZEND_FETCH_CLASS_CONSTANT_SPEC_CONST_CONST_HANDLER() 中存在非法指令错误。攻击者可利用此错误，造成拒绝服务情况或可能执行任意代码。(bug #74546)

 - 存在一个因处理包含 Unicode 字符的目录路径而导致的缺陷。攻击者可以利用此缺陷造成错误的“__DIR__”变量值，从而可能导致拒绝服务情况或执行任意代码。（缺陷 #74589）

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

据横幅广告可知，远程 Web 服务器上运行的 PHP 版本为低于 7.1.5 的 7.1.x。因此，该应用程序受到以下漏洞的影响：

 - 由于未阻止对字符串对象的更改而导致长度为负，在连接字符串时，文件 Zend/zend_string.h 的 zend_string_extend() 函数中存在一个内存分配问题。未经身份验证的远程攻击者可利用此问题，造成拒绝服务情况或其他可能的不明影响。(CVE-2017-8923)

 - 在分配大量内存时，Zend/zend_variables.h 的 i_zval_ptr_dtor() 函数中存在一个内存分配问题。未经身份验证的远程攻击者可利用此问题，通过数组数据结构上构建的操作，造成拒绝服务情况。(CVE-2017-9119)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

据横幅广告可知，远程 Web 服务器上运行的 PHP 版本为低于 7.1.2 的 7.1.x。因此，该应用程序受到以下漏洞的影响：

 - mysqli.c 中存在一个因内存泄露导致的拒绝服务漏洞。未经身份验证的远程攻击者可利用此问题损毁应用程序。（BID 96300/PHP 错误 #73949）

 - 由于 DEP 违规，PHP-Win 客户端存在一个远程代码执行漏洞。未经身份验证的远程攻击者可利用此问题造成拒绝服务情况或执行任意代码。（BID 96303/PHP 错误 #73876）

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
112376	Bootstrap 4.x < 4.3.1 跨站脚本	medium
112375	Bootstrap 3.x < 3.4.1 跨站脚本	medium
112363	lighttpd < 1.4.51 多个漏洞	medium
112362	lighttpd < 1.4.50 多个漏洞	high
98917	Apache 2.4.17/2.4.18 mod_http2 拒绝服务	medium
98916	Apache 2.4.x < 2.4.35 拒绝服务	medium
98915	Apache 2.4.x < 2.4.34 多个漏洞	high
98884	PHP 7.3.x < 7.3.0 多个漏洞	high
98883	PHP 7.2.x < 7.2.13 多个漏洞	high
98882	PHP 7.1.x < 7.1.25 多个漏洞	high
98881	PHP 7.0.x < 7.0.33 多个漏洞	high
98880	PHP 5.6.x < 5.6.39 多个漏洞	high
98879	PHP 7.2.x < 7.2.8 在 EXIF 中释放后使用任意代码执行	critical
98878	PHP 7.0.x < 7.0.31 在 EXIF 中释放后使用任意代码执行	critical
98877	PHP 7.1.x < 7.1.9 堆释放后使用漏洞	critical
98876	PHP 7.0.x < 7.0.23 堆释放后使用漏洞	critical
98875	PHP 7.1.x < 7.1.20 exif_thumbnail_extract() DoS	high
98874	PHP 5.6.x < 5.6.37 exif_thumbnail_extract() DoS	high
98873	PHP 5.6.x < 5.6.17 多个漏洞	critical
98587	Drupal 8.6.x < 8.6.6 多个漏洞	critical
98586	Drupal 8.x < 8.5.9 多个漏洞	critical
98585	Drupal 7.x < 7.62 多个漏洞	critical
98520	Joomla! 2.5.x < 3.9.2 多个漏洞	medium
98914	Apache 2.4.x < 2.4.33 多个漏洞	critical
98913	Apache 2.4.x < 2.4.28 HTTP 漏洞 (OptionsBleed)	high
98912	Apache 2.4.x < 2.4.27 多个漏洞	critical
98911	Apache 2.4.x < 2.4.26 多个漏洞	critical
98910	Apache 2.4.x < 2.4.25 多个漏洞 (httpoxy)	high
98909	Apache 2.4.18 / 2.4.20 X.509 证书身份验证绕过	high
98908	Apache 2.4.x < 2.4.16 多个漏洞	high
98907	Apache 2.4.x < 2.4.12 多个漏洞	high
98906	Apache 2.4.x < 2.4.10 多个漏洞	high
98905	Apache 2.4.x < 2.4.9 多个漏洞	high
98904	Apache 2.4.6 远程 DoS	high
98903	Apache 2.4.x < 2.4.6 多个漏洞	critical
98902	Apache 2.4.x < 2.4.4 多个 XSS 漏洞	medium
98901	Apache 2.4.x < 2.4.3 多个漏洞	high
98900	Apache 2.4.x < 2.4.2“LD_LIBRARY_PATH”不安全的库加载	high
98872	PHP 7.2.x < 7.2.10 传输编码参数 XSS 漏洞	medium
98871	PHP 7.1.x < 7.1.22 传输编码参数 XSS 漏洞	medium
98870	PHP 7.0.x < 7.0.32 传输编码参数 XSS 漏洞	medium
98869	PHP 5.6.x < 5.6.38 传输编码参数 XSS 漏洞	medium
98868	PHP 7.2.x < 7.2.5 多个漏洞	high
98867	PHP 7.2.x < 7.2.4 可转储的 FPM 子进程	medium
98866	PHP 7.2.x < 7.2.3 堆栈缓冲区溢出	critical
98865	PHP 7.2.x < 7.2.1 多个漏洞	high
98864	PHP 7.1.x < 7.1.7 多个漏洞	critical
98863	PHP 7.1.x < 7.1.6 多个漏洞	critical
98862	PHP 7.1.x < 7.1.5 多个漏洞	critical
98861	PHP 7.1.x < 7.1.2 多个漏洞	critical

检测

Web App Scanning 的 Component Vulnerability 系列

medium

medium

medium

high

medium

medium

high

high

high

high

high

high

critical

critical

critical

critical

high

high

critical

critical

critical

critical

medium

critical

high

critical

critical

high

high

high

high

high

high

high

critical

medium

high

high

medium

medium

medium

medium

high

medium

critical

high

critical

critical

critical

critical