遠端 Redhat Enterprise Linux 9 主機上安裝的套件受到 RHSA-2023: 1045 公告中提及的弱點影響。

  - bootstrap：折疊 data-parent 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14040)

  - bootstrap：工具提示的 data-container 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14042)

  - jquery：物件原型中存在原型污染，會導致拒絕服務、遠端程式碼執行或屬性插入 (CVE-2019-11358)

  - jquery：存在跨網站指令碼，這是 injQuery.htmlPrefilter 方法不當所致 (CVE-2020-11022)

  - jquery：透過傳遞給 DOM 操作方法的 HTML 中的 <option> 標記，進行不受信任的程式碼執行 (CVE-2020-11023)

  - glob-parent：規則運算式拒絕服務 (CVE-2021-35065)

  - minimist：原型污染 (CVE-2021-44906)

  - keycloak：execute-actions-email Admin REST API 中的 HTML 插入 (CVE-2022-1274)

  - keycloak：在特定情況下模擬 XSS (CVE-2022-1438)

  - SnakeYaml：建構函式反序列化遠端程式碼執行 (CVE-2022-1471)

  - Moment.js: moment.locale 中存在路徑遊走弱點 (CVE-2022-24785)

  - snakeyaml：因遺漏集合的巢狀深度限製而導致拒絕服務 (CVE-2022-25857)

  - Undertow：當 Undertow 伺服器永遠等待 EJB 叫用的 LAST_CHUNK 時，可以實現 DoS (CVE-2022-2764)

  - moment：低效剖析演算法可導致 DoS (CVE-2022-31129)

  - loader-utils：規則運算式拒絕服務 (CVE-2022-37603)

  - keycloak：透過雙重 URL 編碼的路徑遊走 (CVE-2022-3782)

  - snakeyaml：org.yaml.snakeyaml.composer.Composer.composeSequenceNode 中未捕捉到的例外狀況 (CVE-2022-38749)

  - snakeyaml：org.yaml.snakeyaml.constructor.BaseConstructor.constructObject 中未捕捉到的例外狀況 (CVE-2022-38750)

  - snakeyaml：java.base/java.util.regex.Pattern$Ques.match (CVE-2022-38751) 中未捕捉到的例外狀況

  - keycloak：OIDC 離線 refreshtoken 的工作階段接管 (CVE-2022-3916)

  - jettison: 由 stackoverflow 造成的剖析器損毀 (

偵測

RHEL 9：RHEL 9 上的 Red Hat Single Sign-On 7.6.2 版安全性更新 (重要) (RHSA-2023: 1045)

critical Nessus Plugin ID 172039

版本 1.4

版本 1.3

版本 1.2

版本 1.1

版本 1.0

版本 1.4 Apr 28, 2024, 2:25 PM CVE (set "CVE" coverage to "CVE-2018-14040,CVE-2018-14042,CVE-2019-11358,CVE-2020-11022,CVE-2020-11023,CVE-2021-35065,CVE-2021-44906,CVE-2022-1274,CVE-2022-1438,CVE-2022-1471,CVE-2022-2764,CVE-2022-3916,CVE-2022-4137,CVE-2022-24785,CVE-2022-25857,CVE-2022-31129,CVE-2022-37603,CVE-2022-38749,CVE-2022-38750,CVE-2022-38751,CVE-2022-40149,CVE-2022-40150,CVE-2022-42003,CVE-2022-42004,CVE-2022-45047,CVE-2022-45693,CVE-2022-46175,CVE-2022-46363,CVE-2022-46364,CVE-2023-0091,CVE-2023-0264") CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") Detection (updated detection logic) Plugin metadata Reference Plugin Feed: 202404281425
版本 1.3 Aug 2, 2023, 11:57 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:F/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:F/RL:O/RC:C") Plugin Feed: 202308022357
版本 1.2 Mar 2, 2023, 10:01 PM CEA reference Plugin Feed: 202303022201
版本 1.1 Mar 2, 2023, 2:01 PM Exploit attributes ("Exploit available" set to "True". "Exploit available" set to "True". "Exploit available" set to "True". "Exploit available" set to "True". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202303021401
版本 1.0 Mar 2, 2023, 6:00 AM New Plugin Feed: 202303020600