根据其服务器响应标头，安装的 nginx 为低于 1.28.3 的版本，或是低于 1.29.7 的 1.29.x 版。因此，该应用程序受到以下问题的影响：

 - ngx_http_dav_module 模块中的漏洞可能允许攻击者触发 NGINX 工作进程的缓冲区溢出。 (CVE-2026-27654)

 - ngx_http_mp4_module 模块中的一个漏洞可能会允许攻击者过度读取或过度写入 NGINX 工作线程内存从而导致其终止。 (CVE-2026-27784)

 - ngx_http_mp4_module 模块中有一个漏洞可能允许攻击者使用特别构建的 MP4 文件触发缓冲区过度读取或 NGINX 工作线程内存过度写入从而导致其终止或可能执行代码。 (CVE-2026-32647)

 - 如果在 NGINX Plus 或 NGINX Open Source 上启用了 ngx_mail_auth_http_module 模块则未公开的请求可能造成工作进程终止。 (CVE-2026-27651)

 - 由于未正确处理 DNS 响应中的 CRLF 序列NGINX Plus 和 NGINX Open Source 在 ngx_mail_smtp_module 模块中存在一个漏洞。 (CVE-2026-28753)

 - ngx_stream_ssl_module 模块中存在一个漏洞原因是在使用 ssl_verify_client on 和 ssl_ocsp on 的指令进行配置时不当处理已撤销的证书导致此漏洞即使在 OCSP 检查将证书识别为已撤销证书之后仍允许 TLS 握手成功。 (CVE-2026-28755)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 WordPress 应用程序受到多个漏洞的影响：

 - 伪装服务器端请求伪造 (SSRF)

 - HTML API 和区块注册表中的 PoP 链漏洞

 - 数字字符引用中的 regex 拒绝服务 (DoS) 漏洞

 - 导航菜单中存储的跨站脚本 (XSS)

 - AJAX 查询附件授权绕过

 - 通过 data-wp-bind 指令造成的存储的跨站脚本 (XSS)

 - 允许覆盖管理区域中的客户端模板的跨站脚本 (XSS)

 - PclZip 路径遍历问题

 - Notes 功能上的一个授权绕过

 - 外部 getID3 库中的 XML 外部实体 (XXE) 问题

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号远程主机上运行的 CKEditor 应用程序是 5.40.x 之前的 5.41.3.2 或 5.43.1.x 之前的 5.43.1.1。因此受到 CKEditor 5 剪贴板程序包中的跨站脚本 (XSS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号远程主机上运行的 CKEditor 应用程序版本是低于 5.44.2.x 的 5.44.2.1。因此受到 CKEditor 5 实时协作程序包中的跨站脚本 (XSS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号远程主机上运行的 CKEditor 应用程序是 5.44.2.x 之前的 5.45.2.2 或 5.46.0.2 之前的 5.46.0.3。因此受到 CKEditor 5 剪贴板程序包中的跨站脚本 (XSS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，远程主机上运行的 CKEditor 应用程序版本为低于 47.6.0 的版本。因而会受到常规 HTML 支持功能中一个跨站脚本 (XSS) 漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

低于版本 2.3.3 的 Nginx UI 包含严重的敏感信息泄露漏洞，导致未经过身份验证的攻击者可以访问 /api/backup 端点，并从 X-Backup-Security 响应标头检索加密密钥。攻击者可利用此缺陷下载和解密完整系统备份，泄露用户凭据、会话标记、SSL 私钥和 Nginx 配置等敏感数据。

版本 2026.1 之前的 SolarWinds WHD 包含严重的身份验证绕过漏洞，导致未经过身份验证的攻击者可以获得未经授权的系统访问权限，这可能造成数据外泄和系统受损。

远程主机上安装的 SolarWinds WHD 版本受到多个漏洞的影响：

 - 安全控制绕过漏洞，未经身份验证的攻击者可借此获取特定受限制功能的访问权限 (CVE-2025-40536)

 - 未经身份验证注入 JNDI 漏洞，未经身份验证的远程攻击者可借此通过 Apache Xalan JNDIConnectionPool 类利用 JNDI 注入，进而实现远程代码执行 (CVE-2025-40551)

 - 身份验证绕过漏洞，未经身份验证的远程攻击者可借此执行受保护的操作，而无需进行身份验证 (CVE-2025-40552)

 - 身份验证绕过漏洞，未经身份验证的远程攻击者可借此访问特权管理功能 (CVE-2025-40554)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Apache Tomcat 版本为 9.0.113 之前的 9.0.0-M1、10.1.0-M1 之前的 10.1.50、11.0.0-M1 之前的 11.0.15。因此，该服务器受到多个漏洞的影响：

 - 如果将安全限制配置为允许对 URI 的 HEAD 请求但拒绝 GET 请求用户可通过使用 HTTP/ 发送规范无效HEAD 请求来绕过对 GET 请求的限制0.9。 (CVE-2026-24733)

 - 如果为多个虚拟主机配置了 Tomcat并且其中一个主机的 TLS 配置不要求客户端证书认证而另一个主机要求则客户端可能通过在多个虚拟主机中发送不同的主机名称来绕过客户端证书认证。 SNI 扩展和 HTTP 主机标头字段。 (CVE-2025-66614)

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

远程主机上安装的 Apache Tomcat 版本为低于 9.0.115的 9.0.83 、低于 10.1.52 的 10.1.0-M7 或低于 11.0.18的 11.0.0-M1。因而会受到不完整的 OCSP 验证检查的影响。使用 OCSP 响应器时Tomcat 的 FFM 与 OpenSSL 集成未对 OCSP 响应完成验证或最新性检查这可允许绕过证书吊销。

请注意，扫描程序并未试图利用这些问题，而只依赖于应用程序自我报告的版本号。

根据其服务器响应头安装的 nginx 版本为 1.3.0 至 1.29.4。因此在配置为代理上游传输层安全 (TLS) 服务器时会受到漏洞的影响。如果攻击者在上游服务器端利用中间人 (MITM) 位置以及超出攻击者控制的情况可能会将纯文本数据注入到来自上游代理服务器的响应中。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Mura CMS 10.0.580 之前的版本受到可通过特别伪造的请求触发的身份验证绕过漏洞影响。

根据应用程序自我报告的版本号，Roundcube Webmail 的版本低于 1.5.10，或介于 1.6.x 和 1.6.11 之间。因此可能会受到经身份验证用户的 远程代码执行漏洞影响原因是 program/actions/settings/upload.php 中未验证 URL 中的 _from 参数进而导致 PHP 对象反序列化 (CVE-2025-49113)。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据应用程序自我报告的版本号，Roundcube Webmail 的版本低于 1.5.12，或介于 1.6.x 和 1.6.12 之间。因而可能会受到多个漏洞的影响：

 - HTML 样式审查器中的信息泄露漏洞。

 - 通过 SVG 文档中的 animate 标签造成的跨站脚本 (XSS) 漏洞。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号检测到的 OpenCMS 应用程序受到任意文件上传漏洞的影响

- Alkacon OpenCMS v15.0 的组件 /workplace#!explorer 中的任意文件上传漏洞允许攻击者通过上传构建的 PNG 文件执行任意代码。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 OpenCMS 应用程序受到多个漏洞的影响：

- 未正确清理“URI”参数造成开放重定向漏洞。

- “Mercury”模板中的跨站脚本 (XSS) 漏洞。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，检测到的 OpenCMS 应用程序受到多个漏洞的影响：

- 跨站脚本可允许具有图库编辑者或 VFS 资源管理员角色的用户有权上传包含 JavaScript 代码的 .svg 格式图像。

- 允许有足够权限的用户通过管理面板创建和修改网页的跨站脚本攻击者可在“标题”字段中插入代码之后执行恶意的 JavaScript 代码。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号检测到的 OpenCMS 应用程序受到多种跨站脚本 (XSS) 漏洞的影响

- 跨站脚本漏洞允许远程攻击者通过图像字段中的图像标题子字段注入 javascript 负载。

- 存储型跨站脚本 (XSS) 漏洞允许攻击者通过注入 Author 参数中的构建负载来执行任意 Web 脚本或 HTML。

- 存储跨站脚本 (XSS) 漏洞允许攻击者通过注入 image 参数中的构建负载执行任意 Web 脚本或 HTML。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

低于 12.8.0.0 的 Ivanti Endpoint Manager Mobile (EPMM) 版本受到一个漏洞的影响，该漏洞允许未经身份验证的远程攻击者通过特别构建的请求在受影响的系统上执行任意代码。

低于 12.1.2 的 VERSConcerto 版本 11.4.x 受到一个身份验证绕过漏洞的影响。未经身份验证的远程攻击者可利用此漏洞在未经授权的情况下访问内部actuator 端点。

低于 4.5.11的Vite 版本、低于 5.0.x 的 5.4.16Vite版本、低于 6.0.13[] 的  6.0.x 、低于 6.1.3 的 6.1.x ] 或低于 [ 6.2.x 的 6.2.4 版本均受到一个漏洞影响，该漏洞允许未经身份验证的远程攻击者读取受影响主机上的任意文件host 当应用程序将 Vite dev 服务器暴露到网络时。

低于 build 9413 的 SmarterMail 版本受到不受限制的文件上传漏洞影响。未经身份验证的攻击者可利用此问题将任意文件上传到服务器，从而导致远程代码执行。

Zimbra Collaboration 10.0.18 和 10.1.13 之前的版本在 Webmail Classic UI 中容易受到本地文件包含 (LFI) 漏洞影响，这是未正确处理用户在 RestFilter servlet 中提供的请求参数所致。未经身份验证的远程攻击者可通过构建针对 /h/rest 端点的请求来利用此漏洞，从而导致包含 WebRoot 目录中的任意文件。

Livewire 是适用于 Laravel 的全堆栈框架，可简化动态界面构建过程，同时让您无需离开 Laravel 环境。

3.6.4 之前的 Livewire 版本中存在一个远程代码执行漏洞，这是在组件 Hydration 进程中不当处理序列化数据所致。攻击者可通过向服务器发送包含恶意序列化数据的特制请求来利用此漏洞。随后，系统会反序列化并执行此请求，从而允许攻击者在服务器上执行任意代码。

注意: 根据识别到的 Livewire 版本，如果该插件使用版本 3.6.3 (有漏洞) 或 3.6.4 (已修补)，则表示该网站**可能**存在漏洞。

JetBrains TeamCity 是持续集成和版本管理系统在启用 功能的情况下允许访客访问。如果启用来宾登录攻击者可在未经身份验证的情况下访问 TeamCity 服务器进而可能导致未经授权访问敏感信息和系统功能。

JetBrains TeamCity 是持续集成和版本管理系统。默认情况下TeamCity 允许用户自行注册帐户。如果启用自注册功能攻击者可在未经任何授权的情况下创建帐户从而可能导致未经授权访问 TeamCity 服务器。

SAP NetWeaver Internet Communication Manager (ICM) 包含一个信息页面可泄露关于 SAP 平台的敏感信息例如操作系统版本、SAP 版本、IP 地址和其他详细信息。如果在未经适当认证的情况下即可访问此页面则可能会暴露信息被攻击者利用来策划针对系统的进一步攻击。

大使 API 网关包含一个诊断门户网站可提供有关 API 网关的配置和操作的详细信息。如果在未经适当身份验证的情况下可访问此门户，则可能会暴露敏感信息例如服务映射、API 端点、路由配置和内部群集信息。攻击者可利用此信息策划针对系统的进一步攻击。

Shibboleth Service Provider (SP) 包含一个开放重定向漏洞。攻击者可利用此漏洞将用户重定向到恶意网站可能导致钓鱼攻击或其他恶意活动。当未正确设置“redirectLimit”配置选项时会出现此问题。

根据其自我报告的版本，Joomla! 的实例会远程 Web 服务器上运行的版本 3.9.x 优先于 5.4.2或 6.x 优先于 6.0.2。因此，该软件受到多个漏洞的影响。

 - 缺少输入过滤会导致与 img 标签中的数据 URL 相关的 HTML 过滤器代码中存在 XSS 矢量。 (CVE-2025-63082)

 - 缺少输出转义会导致 pagebreak 和 pagenavigation 插件中出现 XSS 矢量。 (CVE-2025-63083)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Sitecore 是一款流行的网络内容管理系统 (WCMS)，用于构建和管理网站。可访问调试页面时可能会暴露与应用程序的配置、环境和代码结构有关的敏感信息。攻击者可利用此信息识别漏洞并对应用程序发起针对性攻击。

低于 11.36.60 的Commvault CommandCenter 版本在已知登录机制中包含一个漏洞其允许未经身份验证的攻击者无需用户凭据即可执行 API 调用。

远程 Web 应用程序正在使用 Symfony一个 PHP 框架。受到一个信息泄露漏洞影响该漏洞来源于冲突的代理标头。

当一个请求中同时存在“Forwarded”和“X-Forwarded-*”标头时Symfony 的受信任代理设置中的错误配置可触发“ConflictingHeadersException”。如果应用程序在生产环境中运行并启用了调试模式则此异常会暴露敏感的环境详细信息例如 SMTP 凭据、内部应用程序路径和系统配置。

JFrog Artifactory 是一种受欢迎的存储库管理工具，用于存储和管理软件构件。如果构件存储库被检测到并可访问，则可能会暴露敏感信息或允许对存储的构件进行未经授权的访问。

ID	名称	严重性
115174	Nginx < 1.28.3 多个漏洞	high
115173	Nginx 1.29.x < 1.29.7 多个漏洞	high
115170	WordPress 6.4.x < 6.4.8 多个漏洞	medium
115169	WordPress 6.5.x < 6.5.8 多个漏洞	medium
115168	WordPress 6.6.x < 6.6.5 多个漏洞	medium
115167	WordPress 6.7.x < 6.7.5 多个漏洞	medium
115166	WordPress 6.8.x < 6.8.5 多个漏洞	medium
115165	WordPress 6.9.x < 6.9.2 多个漏洞	medium
115164	CKEditor < 43.1.1 跨站脚本	medium
115163	CKEditor 5.40.0.x < 5.41.3.2 跨站脚本	medium
115162	CKEditor 5.42.0.x < 5.44.2.1 跨站脚本	medium
115161	CKEditor 5.46.0.2 < 5.46.0.3 跨站脚本	low
115160	CKEditor 5.44.2.x < 5.45.2.2 跨站脚本	low
115159	CKEditor < 47.6.0 跨站脚本	medium
115158	Nginx UI < 2.3.3 敏感信息泄露	critical
115157	SolarWinds WHD < 2026.1 身份验证绕过	critical
115156	SolarWinds WHD < 2026.1 多个漏洞	critical
115154	Apache Tomcat 9.0.0-M1 < 9.0.113 多个漏洞	medium
115153	Apache Tomcat 10.1.0-M1 < 10.1.50 多个漏洞	medium
115152	Apache Tomcat 11.0.0-M1 < 11.0.15 多个漏洞	medium
115151	Apache Tomcat 9.0.83 < 9.0.115 OCSP 验证检查不完整	high
115150	Apache Tomcat 10.1.0-M7 < 10.1.52 OCSP 验证检查不完整	high
115149	Apache Tomcat 11.0.0-M1 < 11.0.18 OCSP 验证检查不完整	high
115141	Nginx 1.3.0 < 1.29.5 SSL 上游注入	high
115140	Mura CMS < 10.0.580 身份验证绕过	critical
115139	Roundcube Webmail 1.6.x < 1.6.11 远程代码执行	high
115138	Roundcube Webmail < 1.5.10 远程代码执行	high
115137	Roundcube Webmail 1.6.x < 1.6.12 多种漏洞	high
115136	Roundcube Webmail < 1.5.12 多种漏洞	high
115135	OpenCMS <= 15.0 任意文件上传	medium
115134	OpenCMS 14.0.0 < 16.0.0 多种漏洞	medium
115133	OpenCMS < 17.0.0 多种漏洞	medium
115132	OpenCMS <= 18.0.0 多种跨站脚本	medium
115128	Ivanti Endpoint Manager Mobile < 12.8.0.0 远程代码执行	critical
115121	Thunderbird 11.4.x < 12.1.2 认证绕过	critical
115120	Vite < 4.5.11 / 5.0.x < 5.4.16 / 6.0.x < 6.0.13 / 6.1.x < 6.1.3 / 6.2.x < 6.2.4 任意文件读取	medium
115117	SmarterMail < build 9413 不受限制的文件上传	critical
115122	Zimbra Collaboration 10.0.x < 10.0.18 / 10.1.x < 10.1.13 本地文件包含	high
115113	Livewire 3.x < 3.6.4 远程代码执行	critical
115110	检测到 JetBrains TeamCity 来宾机访问	medium
115109	已启用 JetBrains TeamCity 注册	medium
115108	SAP NetWeaver ICM Info 敏感信息泄露	medium
115107	大使 API 网关诊断敏感信息泄露	medium
115106	Shibboleth SSO 开放重定向	medium
115101	Joomla! 6.x < 6.0.2 多个漏洞	high
115100	Joomla! 3.9.x < 5.4.2 多个漏洞	high
115097	检测到 Sitecore 调试页面	medium
115096	Commvault CommandCenter < 11.36.60 未授权的 API 访问	medium
115099	Symfony 冲突标头信息泄露	medium
115095	检测到 JFrog Artifactory Artifacts 存储库	medium

检测

Web App Scanning 的 Component Vulnerability 系列

high

high

medium

medium

medium

medium

medium

medium

medium

medium

medium

low

low

medium

critical

critical

critical

medium

medium

medium

high

high

high

high

critical

high

high

high

high

medium

medium

medium

medium

critical

critical

medium

critical

high

critical

medium

medium

medium

medium

medium

high

high

medium

medium

medium

medium