根据其自我报告的版本号，远程主机上安装的 PHP 为低于 8.1.31 的 8.1.x 版、低于 8.2.26 的 8.2.x 版或低于 8.3.14 的 8.3.x 版。因此，它受到多个漏洞影响：

 - ldap_escape 中的 OOB 访问。(CVE-2024-8932)

 - 通过堆缓冲区读取越界泄漏堆的部分内容。(CVE-2024-8929)

 - dblib 引用器中导致 OOB 写入的整数溢出。(CVE-2024-11236)

 - firebird 引用器中导致 OOB 写入的整数溢出。(CVE-2024-11236)

 - 在流上下文中配置代理可能会允许在 URI 中进行 CRLF 注入。(CVE-2024-11234)

 - convert.quoted-printable-decode 过滤器的单字节越界读取。(CVE-2024-11233)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Surecart Plugin 受到未经身份验证的 SQL 注入漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Palo Alto PAN-OS 版本 10.2.x < 10.2.12 / 11.0.x < 11.0.6 / 11.1.x < 11.0.5 / 11.2.x < 11.2.4 受到一个漏洞影响，允许攻击者通过特别伪造的请求绕过身份验证并发出管理员请求。

低于 4.6 修补程序 5.19 的 Ivanti Cloud Services Appliance 版本受到一个漏洞的影响，允许未经身份验证的远程攻击者通过特别构建的请求访问受限制的功能

远程主机上安装的 WordPress Really Simple Security Plugin 受到一个身份验证绕过漏洞影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为 9.0.0-M1 至 9.0.95、10.1.0-M1 至 10.1.30 或 11.0.0-M1 至 11.0.0-M26。因此，该服务器受到多个漏洞的影响：

 - 如果 Tomcat 配置为使用自定义 Jakarta 身份验证（旧称 JASPIC）ServerAuthContext 组件，其可能会在未明确设置表示失败的 HTTP 状态的情况下于身份验证过程中返回异常，导致身份验证可能不会失败，从而允许用户绕过身份验证过程。(CVE-2024-52316)

 - HTTP/2 请求所使用的请求和响应不正确回收，可能导致用户之间混淆请求和/或响应。(CVE-2024-52317)

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为 9.0.96、10.1.31 或 11.0.0。因此，它受到一个跨站脚本 (XSS) 的影响，原因是之前的修复导致池中的 JSP 标签在使用后不释放，进而导致某些标签的输出无法按预期进行转义。此非转义输出可导致 XSS。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 WordPress Opti Marketing Plugin 受到未经身份验证的 SQL 注入漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，jQuery 的版本为 1.9.0 之前的版本。因此，它可能受到跨站脚本漏洞的影响，因为加载方法无法识别和删除包含一个空白字符的“<script>” HTML 标记。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

扫描程序通过在其登录表单上使用可预测的凭据，成功地在 Apache APISIX web 应用程序上进行了身份验证。

低于 2.10.1 的 Apache APISIX Dashboard 版本受到一个漏洞的影响，该漏洞允许远程攻击者通过特别伪造的请求来绕过认证并访问敏感资源。

当 register_argc_argv php 指令设置为“on”，并且用户使用特别构建的查询字符串调用任何 URL 时，低于 5.4.46 的 Symfony 版本或低于 6.x 的 6.4.14 或低于 7.x 的 7.1.7 版本容易受到影响处理请求时内核使用的环境或调试模式。

请注意，由于易受攻击的 Symfony 组件内嵌于 Laravel 中，该插件可能会检测到易受攻击的 Laravel 实例。

使用 PKIAuthenticationPlugin 的 Apache Solr（版本低于 8.11.4 的 5.3.0 或低于 9.7.0 的 9.x），会在使用 Solr 身份验证时默认激活，可让攻击者通过特别伪造的请求绕过身份验证。

根据其自我报告的版本号，远程主机上运行的 Mastodon 版本是低于 3.5.8 的 2.5.0、低于 4.0.4 的 4.0.x 或低于 4.1.2 的 4.1.x。因此，该应用程序可能会受到登录中 LDAP 盲注入的影响，导致攻击者能够泄漏 LDAP 数据库中的任意属性。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 应用程序版本低于 3.5.9，或是低于 4.0.5 的 4.0.x、低于 4.1.3 的 4.1.x。因此，该主机受到多个漏洞的影响：

- 已验证配置文件链接可能会设置误导性的格式 - 通过缓慢的 HTTP 响应造成拒绝服务 - 通过媒体附件创建任意文件 - 通过 oEmbed 预览卡片造成 XSS

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 应用程序版本低于 3.5.14，或是低于 4.0.10 的 4.0.x、低于 4.1.8 的 4.1.x。因此，该主机受到多个漏洞的影响：

- 一个通过转换功能存储的 XSS - 一个服务器端请求伪造 - 一个无效的域名规范化

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 应用程序版本低于 3.5.18，或是低于 4.0.14 的 4.0.x、低于 4.1.14 的 4.1.x、低于 4.2.6 的 4.2.x。因此，该主机受到多个漏洞的影响：

- 破坏 OAuth 应用程序未通知 Streaming 正在销毁的访问令牌 - 电子邮件变更造成的外部 OpenID Connect 帐户接管

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 版本低于 3.5.17，或是低于 4.0.13 的 4.0.x、低于 4.1.13 的 4.1.x、低于 4.2.5 的 4.2.x。因此，它可能会受到远程用户假冒和接管的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 版本低于 3.5.19，或是低于 4.0.15 的 4.0.x、低于 4.1.15 的 4.1.x、低于 4.2.7 的 4.2.x。因此，它可能受到 Activity Streams 对象缺少媒体类型验证的影响，导致攻击者可以假冒远程帐户。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 应用程序版本低于 4.1.17，或是低于 4.2.9 的 4.2.x。因此，该主机受到多个漏洞的影响：

- 可绕过私人提及过滤 - 缺少对密码更改端点的速率限制 - 通过 X-Forwarded-For 标头绕过速率限制

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 应用程序版本低于 4.1.18，或是低于 4.2.10 的 4.2.x。因此，该主机受到多个漏洞的影响：

- 对多个 API 端点的权限检查不充分 - 对现有帖子的 audience 扩展未正确进行作者身份检查 - 存在撤销令牌的问题，在用户撤销应用程序的访问令牌后，该应用程序仍可通过与流 API 的现有连接来接收用户的私人提及、通知等信息。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 版本低于 4.1.20 或是低于 4.2.12 的 4.2.x。因此它可能受到正则表达式拒绝服务漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

SuiteCRM 7.14.4 之前版本和 8.x 至 8.6.1 版的事件响应入口点存在未经身份验证的 SQL 注入漏洞，因此攻击者可以通过特别的伪造请求来执行 SQL 查询。

默认情况下，用户不需要经过身份验证即可访问 Clockwork 仪表盘，这使攻击者可以访问敏感数据，例如数据库查询和传入请求。

此为信息插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 Clockwork 实例。

远程主机上安装的 WordPress GiveWP Plugin 版本受到 PHP 对象注入漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

低于 1.2.96 的 Palo Alto Expedition 版本受到多个漏洞的影响：
 - 源自“/API/convertCSVtoParquet.php”端点的未经身份验证的 OS 命令注入漏洞 (CVE-2024-9264)
 - 经过身份验证的 OS 命令注入漏洞 (CVE-2024-9464)
 - 源自“CHECKPOINT.php”端点的未经身份验证的 SQL 注入漏洞 (CVE-2024-9465)
 - 明文存储敏感信息漏洞 (CVE-2024-9466)
 - 反射型跨站脚本漏洞 (CVE-2024-9467)

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 10.2.10 的 10.2.x。在某些不常见的站点配置下，CKEditor 5 模块中的缺陷可导致某些图像上传将整个 webroot 移动到文件系统上的不同位置。恶意用户可利用此漏洞关闭站点。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
114517	PHP 8.2.x < 8.2.26 多个漏洞	critical
114516	PHP 8.3.x < 8.3.14 多个漏洞	critical
114515	Surecart Plugin for WordPress < 2.30.0 SQL 注入	critical
114514	Palo Alto PAN-OS GlobalProtect 身份验证绕过	medium
114513	Ivanti Cloud Services Appliance < 4.6 修补程序 519 路径遍历	critical
114512	Really Simple Security Plugin for WordPress 9.x < 9.1.2 身份验证绕过	critical
114511	Apache Tomcat 9.0.0-M1 < 9.0.96 多个漏洞	critical
114510	Apache Tomcat 10.1.0-M1 < 10.1.31 多个漏洞	critical
114509	Apache Tomcat 11.0.0-M1 < 11.0.0 多个漏洞	critical
114508	Apache Tomcat 9.0.96 跨站脚本	medium
114507	Apache Tomcat 10.1.31 跨站脚本	medium
114506	Apache Tomcat 11.0.0 跨站脚本	medium
114504	Opti Marketing Plugin for WordPress < 2.0.9 SQL 注入	critical
114501	jQuery < 1.9.0 跨站脚本	medium
114500	Apache APISIX 仪表盘默认凭据	high
114499	Apache APISIX Dashboard < 2.10.1 身份验证绕过	critical
114497	Symfony < 5.4.46 / 6.x < 6.4.14 / 7.x < 7.1.7 不当输入处理	high
114496	Apache Solr 5.3.0 < 8.11.4 / 9.x < 9.7.0 身份验证绕过	high
114495	Mastodon 4.1.x < 4.1.2 LDAP 注入	medium
114494	Mastodon 4.0.x < 4.0.4 LDAP 注入	medium
114493	Mastodon 2.5.0 < 3.5.8 LDAP 注入	medium
114492	Mastodon 4.1.x < 4.1.3 多个漏洞	critical
114491	Mastodon 4.0.x < 4.0.5 多个漏洞	critical
114490	Mastodon < 3.5.9 多个漏洞	critical
114489	Mastodon < 4.1.8 多个漏洞	high
114488	Mastodon < 4.0.10 多个漏洞	high
114487	Mastodon < 3.5.14 多个漏洞	high
114486	Mastodon 4.2.x < 4.2.6 多个漏洞	high
114485	Mastodon 4.1.x < 4.1.14 多个漏洞	high
114484	Mastodon 4.0.x < 4.0.14 多个漏洞	high
114483	Mastodon < 3.5.18 多个漏洞	high
114482	Mastodon < 4.2.5 绕过身份验证	critical
114481	Mastodon < 4.1.13 绕过身份验证	critical
114480	Mastodon < 3.5.17 绕过身份验证	critical
114479	Mastodon 4.2.x < 4.2.7 不受限制的文件上传	high
114478	Mastodon 4.1.x < 4.1.15 不受限制的文件上传	high
114477	Mastodon 4.0.x < 4.0.15 不受限制的文件上传	high
114476	Mastodon < 3.5.19 不受限制的文件上传	high
114475	Mastodon 4.2.x < 4.2.9 多个漏洞	high
114474	Mastodon < 4.1.17 多个漏洞	high
114473	Mastodon 4.2.x < 4.2.10 多个漏洞	high
114472	Mastodon < 4.1.18 多个漏洞	high
114471	Mastodon 4.2.x < 4.2.13 正则表达式拒绝服务	high
114470	Mastodon < 4.1.20 正则表达式拒绝服务	high
114462	SuiteCRM < 7.14.4 / 8.x < 8.6.1 SQL 注入	critical
114461	Clockwork 不受限制的访问权限	critical
114460	检测到 Clockwork	info
114458	GiveWP Plugin for WordPress < 3.16.4 远程代码执行	critical
114457	Palo Alto Expedition < 1.2.96 多种漏洞	critical
114456	Drupal 10.2.x < 10.2.10 不正确的错误处理	medium

检测

Web App Scanning 的 Component Vulnerability 系列

critical

critical

critical

medium

critical

critical

critical

critical

critical

medium

medium

medium

critical

medium

high

critical

high

high

medium

medium

medium

critical

critical

critical

high

high

high

high

high

high

high

critical

critical

critical

high

high

high

high

high

high

high

high

high

high

critical

critical

info

critical

critical

medium