当 register_argc_argv php 指令设置为“on”，并且用户使用特别构建的查询字符串调用任何 URL 时，低于 5.4.46 的 Symfony 版本或低于 6.x 的 6.4.14 或低于 7.x 的 7.1.7 版本容易受到影响处理请求时内核使用的环境或调试模式。

请注意，由于易受攻击的 Symfony 组件内嵌于 Laravel 中，该插件可能会检测到易受攻击的 Laravel 实例。

使用 PKIAuthenticationPlugin 的 Apache Solr（版本低于 8.11.4 的 5.3.0 或低于 9.7.0 的 9.x），会在使用 Solr 身份验证时默认激活，可让攻击者通过特别伪造的请求绕过身份验证。

根据其自我报告的版本号，远程主机上运行的 Mastodon 版本是低于 3.5.8 的 2.5.0、低于 4.0.4 的 4.0.x 或低于 4.1.2 的 4.1.x。因此，该应用程序可能会受到登录中 LDAP 盲注入的影响，导致攻击者能够泄漏 LDAP 数据库中的任意属性。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 应用程序版本低于 3.5.9，或是低于 4.0.5 的 4.0.x、低于 4.1.3 的 4.1.x。因此，该主机受到多个漏洞的影响：

- 已验证配置文件链接可能会设置误导性的格式 - 通过缓慢的 HTTP 响应造成拒绝服务 - 通过媒体附件创建任意文件 - 通过 oEmbed 预览卡片造成 XSS

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 应用程序版本低于 3.5.14，或是低于 4.0.10 的 4.0.x、低于 4.1.8 的 4.1.x。因此，该主机受到多个漏洞的影响：

- 一个通过转换功能存储的 XSS - 一个服务器端请求伪造 - 一个无效的域名规范化

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 应用程序版本低于 3.5.18，或是低于 4.0.14 的 4.0.x、低于 4.1.14 的 4.1.x、低于 4.2.6 的 4.2.x。因此，该主机受到多个漏洞的影响：

- 破坏 OAuth 应用程序未通知 Streaming 正在销毁的访问令牌 - 电子邮件变更造成的外部 OpenID Connect 帐户接管

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 版本低于 3.5.17，或是低于 4.0.13 的 4.0.x、低于 4.1.13 的 4.1.x、低于 4.2.5 的 4.2.x。因此，它可能会受到远程用户假冒和接管的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 版本低于 3.5.19，或是低于 4.0.15 的 4.0.x、低于 4.1.15 的 4.1.x、低于 4.2.7 的 4.2.x。因此，它可能受到 Activity Streams 对象缺少媒体类型验证的影响，导致攻击者可以假冒远程帐户。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 应用程序版本低于 4.1.17，或是低于 4.2.9 的 4.2.x。因此，该主机受到多个漏洞的影响：

- 可绕过私人提及过滤 - 缺少对密码更改端点的速率限制 - 通过 X-Forwarded-For 标头绕过速率限制

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 应用程序版本低于 4.1.18，或是低于 4.2.10 的 4.2.x。因此，该主机受到多个漏洞的影响：

- 对多个 API 端点的权限检查不充分 - 对现有帖子的 audience 扩展未正确进行作者身份检查 - 存在撤销令牌的问题，在用户撤销应用程序的访问令牌后，该应用程序仍可通过与流 API 的现有连接来接收用户的私人提及、通知等信息。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Mastodon 版本低于 4.1.20 或是低于 4.2.12 的 4.2.x。因此它可能受到正则表达式拒绝服务漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

SuiteCRM 7.14.4 之前版本和 8.x 至 8.6.1 版的事件响应入口点存在未经身份验证的 SQL 注入漏洞，因此攻击者可以通过特别的伪造请求来执行 SQL 查询。

默认情况下，用户不需要经过身份验证即可访问 Clockwork 仪表盘，这使攻击者可以访问敏感数据，例如数据库查询和传入请求。

此为信息插件，用于通知用户扫描程序在目标应用程序上检测到可公开访问的 Clockwork 实例。

远程主机上安装的 WordPress GiveWP Plugin 版本受到 PHP 对象注入漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

低于 1.2.96 的 Palo Alto Expedition 版本受到多个漏洞的影响：
 - 源自“/API/convertCSVtoParquet.php”端点的未经身份验证的 OS 命令注入漏洞 (CVE-2024-9264)
 - 经过身份验证的 OS 命令注入漏洞 (CVE-2024-9464)
 - 源自“CHECKPOINT.php”端点的未经身份验证的 SQL 注入漏洞 (CVE-2024-9465)
 - 明文存储敏感信息漏洞 (CVE-2024-9466)
 - 反射型跨站脚本漏洞 (CVE-2024-9467)

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 10.2.10 的 10.2.x。在某些不常见的站点配置下，CKEditor 5 模块中的缺陷可导致某些图像上传将整个 webroot 移动到文件系统上的不同位置。恶意用户可利用此漏洞关闭站点。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 Atlassian Confluence 应用程序版本低于 7.19.25，或是低于 8.5.11 的 7.20.x 版或低于 8.9.3 的 8.6.x 版。因此，它受到存储型跨站脚本 (XSS) 漏洞的影响，该漏洞允许经过身份验证的攻击者在无需用户交互的情况下，在受害者的浏览器上执行任意 HTML 或 JavaScript 代码，从而对机密性、完整性造成重大影响，但不会影响可用性。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

因“title”参数中不受信任输入的反序列化，远程主机上安装的 WordPress SEOPress Plugin 受到 PHP 对象注入漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

XWiki Platform 低于 14.4.8 的 7.0 版本和低于 14.10.4 的 14.5 版本受到 "SkinsCode.XWikiSkinsSheet" 文档中不当转义漏洞的影响。未经身份验证的远程攻击者可利用此漏洞，在存在漏洞的 XWiki 实例上实现特权提升和代码执行。

Mura 和 Masa CMS（开源 fork）受到 JSON API 上 SQL 注入漏洞的影响。通过构建特定的 HTTP 请求，未经身份验证的远程攻击者可利用此漏洞，获得数据库的访问权限并执行任意操作。

Dolibarr 版本 16.x < 16.0.5 受到不当访问控制漏洞的影响，允许未经身份验证的远程攻击者访问目标实例联系人数据库，包括公共和私人注释。

Apache Tapestry 版本 5.4.0 < 5.6.2 和 5.7.0 < 5.7.1 允许未经身份验证的攻击者通过特别构建的请求访问类文件。如果“tapestry.hmac-passphrase”的值被恢复，攻击者可利用此漏洞，在发送表单时，通过“t:formdata”参数的值造成任意代码执行。

根据其自我报告的版本号，远程主机上安装的 PHP 为低于 8.1.30 的 8.1.x 版、低于 8.2.24 的 8.2.x 版或低于 8.3.12 的 8.3.x 版。因此，它受到多个漏洞影响：

 - 绕过 CVE-2024-4577 的参数注入漏洞。(CVE-2024-8926)

 - 由于环境变量冲突，cgi.force_redirect 配置可绕过。(CVE-2024-8927)

 - 可能会更改来自子项的日志。(CVE-2024-9026)

 - 错误解析多部分表单数据。(CVE-2024-8925)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

18.12.16 版之前的 Apache OFBiz 受到一个漏洞影响，未经认证的远程攻击者可在有漏洞的系统上，将文件任意写入目标实例，并执行远程代码执行 (RCE)。

请注意，您需要在扫描配置中启用“文件上传”评估选项才能使用此插件。

远程主机上安装的 WordPress Social Warfare 插件会受到注入的后门程序的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress Pods 插件会受到注入的后门程序的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress PowerPress Podcasting 插件会受到注入的后门程序的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 WordPress LiteSpeed Cache 插件存在漏洞，该漏洞导致在未经身份验证的情况下通过日志文件泄露敏感信息。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

ID	名称	严重性
114497	Symfony < 5.4.46 / 6.x < 6.4.14 / 7.x < 7.1.7 不当输入处理	high
114496	Apache Solr 5.3.0 < 8.11.4 / 9.x < 9.7.0 身份验证绕过	critical
114495	Mastodon 4.1.x < 4.1.2 LDAP 注入	medium
114494	Mastodon 4.0.x < 4.0.4 LDAP 注入	medium
114493	Mastodon 2.5.0 < 3.5.8 LDAP 注入	medium
114492	Mastodon 4.1.x < 4.1.3 多个漏洞	critical
114491	Mastodon 4.0.x < 4.0.5 多个漏洞	critical
114490	Mastodon < 3.5.9 多个漏洞	critical
114489	Mastodon < 4.1.8 多个漏洞	high
114488	Mastodon < 4.0.10 多个漏洞	high
114487	Mastodon < 3.5.14 多个漏洞	high
114486	Mastodon 4.2.x < 4.2.6 多个漏洞	high
114485	Mastodon 4.1.x < 4.1.14 多个漏洞	high
114484	Mastodon 4.0.x < 4.0.14 多个漏洞	high
114483	Mastodon < 3.5.18 多个漏洞	high
114482	Mastodon < 4.2.5 绕过身份验证	critical
114481	Mastodon < 4.1.13 绕过身份验证	critical
114480	Mastodon < 3.5.17 绕过身份验证	critical
114479	Mastodon 4.2.x < 4.2.7 不受限制的文件上传	high
114478	Mastodon 4.1.x < 4.1.15 不受限制的文件上传	high
114477	Mastodon 4.0.x < 4.0.15 不受限制的文件上传	high
114476	Mastodon < 3.5.19 不受限制的文件上传	high
114475	Mastodon 4.2.x < 4.2.9 多个漏洞	high
114474	Mastodon < 4.1.17 多个漏洞	high
114473	Mastodon 4.2.x < 4.2.10 多个漏洞	high
114472	Mastodon < 4.1.18 多个漏洞	high
114471	Mastodon 4.2.x < 4.2.13 正则表达式拒绝服务	high
114470	Mastodon < 4.1.20 正则表达式拒绝服务	high
114462	SuiteCRM < 7.14.4 / 8.x < 8.6.1 SQL 注入	critical
114461	Clockwork 不受限制的访问权限	critical
114460	检测到 Clockwork	info
114458	GiveWP Plugin for WordPress < 3.16.4 远程代码执行	critical
114457	Palo Alto Expedition < 1.2.96 多种漏洞	critical
114456	Drupal 10.2.x < 10.2.10 不正确的错误处理	medium
114455	Atlassian Confluence 8.6.x < 8.9.3 跨站脚本	high
114454	Atlassian Confluence 7.20.x < 8.5.11 跨站脚本	high
114453	Atlassian Confluence < 7.19.25 跨站脚本	high
114452	SEOPress Plugin for WordPress < 7.9 PHP 对象注入	critical
114451	XWiki Platform 7.0 < 14.4.8 / 14.5 < 14.10.4 远程代码执行	high
114450	Mura/Masa CMS SQL 注入	critical
114449	Dolibarr 16.x < 16.0.5 数据库下载	high
114448	Apache Tapestry 任意文件读取	critical
114447	PHP 8.1.x < 8.1.30 多个漏洞	high
114446	PHP 8.2.x < 8.2.24 多个漏洞	high
114445	PHP 8.3.x < 8.3.12 多个漏洞	high
114444	Apache OFBiz < 18.12.16 远程代码执行	high
114443	Social Warfare Plugin for WordPress 4.4.6.4 < 4.4.7.3 注入的后门程序	critical
114442	Pods Plugin for WordPress 3.2.3 注入的后门程序	critical
114441	PowerPress Podcasting Plugin for WordPress 11.9.3 / 11.9.4 注入的后门程序	critical
114440	LiteSpeed Cache Plugin for WordPress < 6.5.0.1 敏感信息泄露	critical

检测

Web App Scanning 的 Component Vulnerability 系列

high

critical

medium

medium

medium

critical

critical

critical

high

high

high

high

high

high

high

critical

critical

critical

high

high

high

high

high

high

high

high

high

high

critical

critical

info

critical

critical

medium

high

high

high

critical

high

critical

high

critical

high

high

high

high

critical

critical

critical

critical