遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2023: 0552 公告中提及的多個弱點影響。

  - jquery：透過跨網域 ajax 要求發起跨網站指令碼攻擊 (CVE-2015-9251)

  - bootstrap：data-target 屬性中存在 XSS (CVE-2016-10735)

  - nodejs-moment：規則運算式拒絕服務 (CVE-2017-18214)

  - bootstrap：折疊 data-parent 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14040)

  - bootstrap：scrollspy 的 data-target 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14041)

  - bootstrap：工具提示的 data-container 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14042)

  - jquery：物件原型中存在原型污染，會導致拒絕服務、遠端程式碼執行或屬性插入 (CVE-2019-11358)

  - bootstrap：工具提示或彈出框 data-template 屬性中存在 XSS 弱點 (CVE-2019-8331)

  - jquery：存在跨網站指令碼，這是 injQuery.htmlPrefilter 方法不當所致 (CVE-2020-11022)

  - jquery：透過傳遞給 DOM 操作方法的 HTML 中的 <option> 標記，進行不受信任的程式碼執行 (CVE-2020-11023)

  - wildfly-elytron：可能透過使用不安全的比較器進行計時攻擊 (CVE-2022-3143)

  - jettison: 由 stackoverflow 造成的剖析器損毀 (CVE-2022-40149)

  - jettison: 透過使用者提供的 XML 或 JSON 資料耗盡記憶體 (CVE-2022-40150)

  -woodstox-core：序列化 XML 資料的 woodstox 容易遭受拒絕服務攻擊 (CVE-2022-40152)

  - jackson-databind：深層包裝函式陣列巢狀 wrt UNWRAP_SINGLE_VALUE_ARRAYS (CVE-2022-42003)

  - jackson-databind：使用深度巢狀陣列 (CVE-2022-42004)

  - mina-sshd：Java 不安全的還原序列化弱點 (CVE-2022-45047)

  - jettison: 如果 map 中的值是 map 本身，新的 JSONObject(map) 會造成 StackOverflowError，進而可能導致 dos (CVE-2022-45693)

  - Apache CXF：SSRF 弱點 (CVE-2022-46364)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

RHEL 7：Red Hat JBoss Enterprise Application Platform 7.4.9 安全性更新 (重要) (RHSA-2023: 0552)

critical Nessus Plugin ID 170909

版本 1.1