根据其自我报告的版本号，AngularJS 的版本为 1.6.5 之前的版本。因此，它可能受到跨站脚本 (XSS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，AngularJS 的版本至少为 1.5.9 之前的 1.5.0 版。因此，可能会受到内容安全策略绕过漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，AngularJS 的版本为 1.6.1 之前的版本。因此，它可能受到 JSONP 回调漏洞的影响，可导致跨站脚本 (XSS)。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，AngularJS 至少为 1.3.0 和 1.5.0-rc.2 之前的版本。因此，它可能受到一个跨站脚本 (XSS) 漏洞的影响，这是由于 usemap 属性未被列入黑名单所致。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，AngularJS 的版本为 1.4.10 之前的版本。因此，它可能受到跨站脚本 (XSS) 漏洞的影响，其中涉及构造属性中的分配。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，Modernizr 的版本为 3.4.0 之前的 3.x 版。因而可能受到多个因 Marked 组件而造成的漏洞影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，Bootstrap 的版本至少为 4.0.0 和 4.1.2 之前的版本。因此，可能通过工具提示、折叠和 scrollspy 插件受到跨站脚本 (XSS) 漏洞的影响。 

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，Bootstrap 的版本为 3.4.0 之前的版本。因此，它可能受到跨站脚本 (XSS) 漏洞的影响，可通过 data-target 属性实现。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，Bootstrap 的版本为 2.1.0 之前的版本。因此，它可能会受到跨站脚本 (XSS) 漏洞的影响，可通过用于使用 jQuery 的 .attr() 方法抓取时未转义的弹出框/工具提示的 html 选项实现。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 lighttpd 版本低于 1.4.36。因而会受到 mod_auth 漏洞的影响，允许远程攻击者通过不带冒号字符的基本 HTTP 身份验证字符串，注入任意日志条目，包含 NULL 和新行字符串即为一例。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 lighttpd 版本低于 1.4.35。因此，该应用程序受到以下漏洞的影响：

 - “mod_mysql_vhost”模块中存在 SQL 注入缺陷，使用主机名传递的用户输入未被正确审查。远程攻击者可利用此漏洞来注入或操纵 SQL 查询，从而导致操纵或泄露数据。(CVE-2014-2323)

 - “mod_evhost”和“mod_simple_vhost”模块中存在受限路径之外遍历缺陷，使用主机名传递的用户输入未被正确审查。远程攻击者可利用此漏洞获取潜在敏感数据的访问权限。(CVE-2014-2324)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 lighttpd 版本低于 1.4.34。因此，该应用程序受到以下漏洞的影响：

 - 启用了服务器名指示 (SNI) 时，存在一个可导致应用程序使用所有可用 SSL 密码（包括弱密码）的缺陷。远程攻击者可能会通过嗅探网络来劫持会话或者获得敏感信息。请注意，仅版本 1.4.24 到 1.4.33 受影响。(CVE-2013-4508)

 - clang 静态分析器中存在一个缺陷，原因是其未能执行关于 setuid (1)、setgid (2) 和 setgroups (3) 调用的检查。这可允许远程攻击者获得提升的权限。(CVE-2013-4559)

 - 启用了 FAM 静态缓存引擎时，clang 静态分析器中存在一个释放后使用错误。这可允许远程攻击者取消引用已释放的内存并导致程序崩溃。(CVE-2013-4560)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 lighttpd 版本为 1.4.31。因而会受到拒绝服务漏洞的影响。“src/request.c”的函数 http_request_split_value() 中的错误可造成应用程序在处理特别构建的“Connection”标头请求时进入死循环。

请注意，扫描程序还未测试该问题，而只依赖于服务器标题中的版本。

根据其标题，远程主机上运行的 lighttpd 版本低于 1.4.30。因而会受到拒绝服务漏洞的影响。HTTP 服务器允许在身份验证进程期间解码越界值，并在之后将这些值用作偏移。使用负值作为偏移会导致应用程序崩溃。

请注意，扫描程序并未测试此问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其标题，远程主机上运行的 lighttpd 版本低于 1.4.28。因此，它可能受到以下漏洞的影响：

 - 在 Debian GNU/Linux 上，对低于 1.4.28 的 lighttpd 的 FastCGI PHP 支持的配置文件，使用包含在 /tmp 中的可预测名称创建套接字文件，这允许本地用户通过符号链接攻击或争用条件来劫持 PHP 控制套接字，并执行未授权的操作，例如强制使用不同版本的 PHP。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为 9.0.0.M1 至 9.0.11 版、8.5.0 至 8.5.33 版或 7.0.23 至 7.0.90 版。因此，当默认 servlet 返回目录重定向时，会受到开放重定向漏洞的影响。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，远程主机上运行的 Apache Tomcat 服务器为低于 7.0.77 的 7.0.x。因此，使用发送文件处理操作时，会受到流水线请求处理中缺陷的影响，造成流水线请求在先前请求处理完成时丢失，进而导致针对错误的请求发送响应。未经身份验证的远程攻击者可利用此问题泄露敏感信息。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为低于 7.0.79 的 7.0.41 或更高版本。因此，未正确添加 HTTP Vary 标头时，受到 CORS 过滤器中缺陷的影响。允许远程攻击者执行客户端和服务器端缓存中毒攻击。

请注意，扫描程序并未试图利用此问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为低于 7.0.81 的 7.0.x。因此，该服务器受到多个漏洞的影响：

 - 在启用 HTTP PUT 的 Windows 上运行时（例如，通过设置默认为 false 的只读初始化参数）受到不明漏洞的影响，可能允许通过特制的请求，将 JSP 文件上传至服务器。之后服务器可请求此 JSP，执行其中包含的任何代码。（CVE-2017-12615、CVE-2017-12617）

 - 使用 VirtualDirContext 时，可利用特制的请求绕过安全限制和/或查看 VirtualDirContext 所服务资源的 JSP 源代码。(CVE-2017-12616)

请注意，扫描程序并未试图利用此问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为低于 7.0.82 的 7.0.x。因此，在启用 HTTP PUT 的 Windows 上运行时（例如，通过设置默认为 false 的只读初始化参数）受到不明漏洞的影响，可能允许通过特制的请求，将 JSP 文件上传至服务器。之后服务器可请求此 JSP，执行其中包含的任何代码。

请注意，扫描程序并未试图利用此问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为低于 7.0.84 的 7.0.x。因此，由于程序包含 CGI Servlet 搜索算法的错误描述而受到缺陷的影响，会导致管理员让系统处于不安全状态。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为低于 7.0.85 的 7.0.x。因而会受到安全限制缺陷的影响，导致资源暴露给未经授权的用户。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为低于 7.0.88 的 7.0.x。因而会受到拒绝服务的影响，这是由于 UTF-8 解码器中的错误所致。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本最低为 7.0.25 及低于 7.0.90 版本。因此，该服务器受到多个漏洞的影响：

 - 由于缺少主机名称验证，WebSocket 客户端中因而存在缺陷

 - CORS 过滤器中存在缺陷，这是由于不安全的默认值所致

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，远程主机上运行的 Apache Tomcat 服务器为低于 8.5.13 的 8.5.x。因此，该主机受到多个漏洞的影响：

 - 使用发送文件处理操作时，会受到流水线请求处理中缺陷的影响，造成流水线请求在先前请求处理完成时丢失，进而导致针对错误的请求发送响应。未经身份验证的远程攻击者可利用此漏洞泄露敏感信息。(CVE-2017-5647)

 - 针对连接处理 HTTP/2 GOAWAY 框架中存在缺陷，这是由于未正确关闭与连接相关的流（若该连接正在等待 WINDOW_UPDATE，以便之后应用程序写入更多数据）。各个流都会消耗系统中的一个处理线程。未经身份验证的远程攻击者可利用此问题，通过一系列特制的 HTTP/2 请求，消耗所有可用线程，从而导致拒绝服务情况。(CVE-2017-5650)

 - 处理发送文件时，HTTP 接口中存在缺陷。如果处理操作快速完成，则可能添加处理器至处理器缓存两次，允许将相同的处理器用作多个请求。未经身份验证的远程攻击者可利用此问题，泄露其他会话的敏感信息或造成意外错误。(CVE-2017-5651)

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

根据其自我报告的版本号，远程主机上运行的 Apache Tomcat 服务为低于 7.0.78 的 7.0.x或低于 8.5.15 的 8.5.x。因此，受到错误页面报告机制中一个实现缺陷的影响，此机制未遵守 Java Servlet 规范，其要求按照 HTTP GET 请求处理静态错误页面，不论发生错误时所用的 HTTP 请求方式为何。根据原始请求和默认 Servlet 配置，未经身份验证的远程攻击者可利用此问题，取代或删除自定义错误页面。

请注意，扫描程序并未试图利用此问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为低于 8.5.16 的 8.5.x。因此，该服务器受到多个漏洞的影响：

 - 由于未正确添加 HTTP Vary 标头，CORS 过滤器中存在缺陷。允许远程攻击者执行客户端和服务器端缓存中毒攻击。(CVE-2017-7674)

 - HTTP/2 实现中存在缺陷，会绕过若干可阻止目录遍历攻击的安全检查。远程攻击者可利用此缺陷绕过安全限制。(CVE-2017-7675)

请注意，扫描程序并未试图利用此问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为低于 8.5.23 的 8.5.x。因此，在启用 HTTP PUT 的情况下运行时（例如，通过设置默认为 false 的只读初始化参数）受到不明漏洞的影响，可能允许通过特制的请求，将 JSP 文件上传至服务器。之后服务器可请求此 JSP，执行其中包含的任何代码。

请注意，扫描程序并未试图利用此问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为低于 8.5.24 的 8.5.x。因此，由于程序包含 CGI Servlet 搜索算法的错误描述而受到缺陷的影响，会导致管理员让系统处于不安全状态。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为低于 8.5.28 的 8.5.x。因而会受到安全限制缺陷的影响，导致资源暴露给未经授权的用户。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为低于 8.5.31 的 8.5.x。因而会受到拒绝服务的影响，这是由于 UTF-8 解码器中的错误所致。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为低于 8.5.32 的 8.5.x。因此，该服务器受到多个漏洞的影响：

 - 由于缺少主机名称验证，WebSocket 客户端中因而存在缺陷

 - NIO/NIO2 连接器中存在缺陷，这是由于未正确处理可导致重复使用用户会话的关闭所致

 - CORS 过滤器中存在缺陷，这是由于不安全的默认值所致

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为 9.0.0.M1 或更高版本（但低于 9.0.0.M22）。因此，该服务器受到多个漏洞的影响：

 - 由于未正确添加 HTTP Vary 标头，CORS 过滤器中存在缺陷。允许远程攻击者执行客户端和服务器端缓存中毒攻击。(CVE-2017-7674)

 - HTTP/2 实现中存在缺陷，会绕过若干可阻止目录遍历攻击的安全检查。远程攻击者可利用此缺陷绕过安全限制。(CVE-2017-7675)

请注意，扫描程序并未试图利用此问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为低于 9.0.1 的 9.0.0.M1 或更高版本。因此，在启用 HTTP PUT 的情况下运行时（例如，通过设置默认为 false 的只读初始化参数）受到不明漏洞的影响，可能允许通过特制的请求，将 JSP 文件上传至服务器。之后服务器可请求此 JSP，执行其中包含的任何代码。

请注意，扫描程序并未试图利用此问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为低于 9.0.2 的 9.0.x。因此，由于程序包含 CGI Servlet 搜索算法的错误描述而受到缺陷的影响，会导致管理员让系统处于不安全状态。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为低于 9.0.5 的 9.0.x。因而会受到安全限制缺陷的影响，导致资源暴露给未经授权的用户。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为低于 9.0.8 的 9.0.x。因而会受到拒绝服务的影响，这是由于 UTF-8 解码器中的错误所致。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为低于 9.0.10 的 9.0.x。因此，该服务器受到多个漏洞的影响：

 - 由于缺少主机名称验证，WebSocket 客户端中因而存在缺陷

 - NIO/NIO2 连接器中存在缺陷，这是由于未正确处理可导致重复使用用户会话的关闭所致

 - CORS 过滤器中存在缺陷，这是由于不安全的默认值所致

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 Drupal 应用程序受到多个漏洞的影响：

 - 内容调控中存在缺陷，可导致访问绕过。

 - 路径模块中存在一个缺陷，具有路径管理权限的用户可利用此缺陷，输入可触发开放重定向的特定路径。

 - URL 中的目标查询字符串参数存在缺陷，可导致开放重定向。

 - DefaultMailSystem：：mail（） 存在缺陷，可能导致代码远程执行。

 - Contextual Links 模块中存在缺陷，可导致远程代码执行

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Sitefinity 版本受到多个漏洞的影响：

 - Telerik.ReportViewer 中的 XSS 漏洞会影响版本 4.2 至 11.0 (CVE-2017-9140)

 - Identity Server 中的 XSS 漏洞会影响版本 10.0 至 11.0（CVE-2018-17053、CVE-2018-17054）

 - Service Stack 中的 XSS 漏洞会影响版本 10.2 至 11.0 (CVE-2018-17056)

 - 影响版本 4.0 至 11.0 的任意文件上传漏洞 (CVE-2018-17055) 

 - Dynamic Linq Parser 的一个任意代码执行会影响版本 4.0 至 11.0

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
112395	AngularJS < 1.6.5 跨站脚本	medium
112394	AngularJS 1.5.0 < 1.5.9 内容安全策略绕过	medium
112393	AngularJS < 1.6.1 跨站脚本	medium
112392	AngularJS 1.3.0 < 1.5.0-rc.2 跨站脚本	medium
112391	AngularJS < 1.4.10 跨站脚本	medium
112381	Modernizr 3.x < 3.4.0 标记为多个漏洞	medium
112374	Bootstrap 4.0.0 < 4.1.2 跨站脚本	medium
112373	Bootstrap < 3.4.0 跨站脚本	medium
112372	Bootstrap < 2.1.0 跨站脚本	medium
112359	lighttpd < 1.4.36 mod_auth 任意日志条目注入	high
112358	lighttpd < 1.4.35 多个漏洞	critical
112357	lighttpd < 1.4.34 多个漏洞	critical
112356	lighttpd 1.4.31 http_request_split_value 函数标头处理 DoS	high
112355	lighttpd < 1.4.30 base64_decode 函数越界读取错误 DoS	high
112354	lighttpd < 1.4.28 不安全的临时文件创建	high
112316	Apache Tomcat 8.5.0 < 8.5.34 开放重定向	medium
112315	Apache Tomcat 7.0.23 < 7.0.91 开放重定向	medium
112313	Apache Tomcat 9.0.0.M1 < 9.0.12 开放重定向	medium
112312	Apache Tomcat 7.0.x < 7.0.77 信息泄露	high
112311	Apache Tomcat 7.0.41 < 7.0.79 缓存中毒漏洞	medium
112310	Apache Tomcat 7.0.x < 7.0.81 多个漏洞	high
112309	Apache Tomcat 7.0.x < 7.0.82 通过 JSP Upload 进行的远程代码执行	high
112308	Apache Tomcat 7.0.79 < 7.0.84 不安全 CGI Servlet 搜索算法描述弱点	medium
112307	Apache Tomcat 7.0.0 < 7.0.85 安全限制弱点	medium
112306	Apache Tomcat 7.0.28 < 7.0.88 拒绝服务	high
112305	Apache Tomcat 7.0.25 < 7.0.90 多个漏洞	critical
112304	Apache Tomcat 8.5.x < 8.5.13 多个漏洞	critical
112303	Apache Tomcat 8.5.x < 8.5.15 远程错误页面操纵	high
112302	Apache Tomcat 7.0.x < 7.0.78 远程错误页面操纵	high
112301	Apache Tomcat 8.5.x < 8.5.16 多个漏洞	high
112300	Apache Tomcat 8.5.x < 8.5.23 通过 JSP Upload 进行的远程代码执行	high
112299	Apache Tomcat 8.5.16 < 8.5.24 不安全 CGI Servlet 搜索算法描述弱点	medium
112298	Apache Tomcat 8.5.x < 8.5.28 安全限制弱点	medium
112297	Apache Tomcat 8.5.0 < 8.5.31 拒绝服务	high
112296	Apache Tomcat 8.5.0 < 8.5.32 多个漏洞	critical
112295	Apache Tomcat 9.0.0.M1 < 9.0.0。M22 多个漏洞	high
112294	Apache Tomcat 9.0.0.M1 < 9.0.1 通过 JSP Upload 进行的远程代码执行	high
112293	Apache Tomcat 9.0.0.M22 < 9.0.2 不安全 CGI Servlet 搜索算法描述弱点	medium
112292	Apache Tomcat 9.0.0.M1 < 9.0.5 安全限制弱点	medium
112291	Apache Tomcat 9.0.0.M1 < 9.0.8 拒绝服务	high
112290	Apache Tomcat 9.0.0.M1 < 9.0.10 多个漏洞	critical
98584	Drupal 8.6.x < 8.6.2 多个漏洞	high
98583	Drupal 8.x < 8.5.8 多个漏洞	high
98582	Drupal 7.x < 7.60 多个漏洞	high
112519	Sitefinity 11.x < 11.0.6702.0 多个漏洞	high
112518	Sitefinity 10.2.x < 10.2.6604.0 多个漏洞	high
112517	Sitefinity 10.1.x < 10.1.6506.0 多个漏洞	high
112516	Sitefinity 10.0.x < 10.0.6415.0 多个漏洞	high
112515	Sitefinity 9.2.x < 9.2.6270.0 多个漏洞	high
112514	Sitefinity 9.1.x < 9.1.6180.0 多个漏洞	high

检测

Web App Scanning 的 Component Vulnerability 系列

medium

medium

medium

medium

medium

medium

medium

medium

medium

high

critical

critical

high

high

high

medium

medium

medium

high

medium

high

high

medium

medium

high

critical

critical

high

high

high

high

medium

medium

high

critical

high

high

medium

medium

high

critical

high

high

high

high

high

high

high

high

high