遠端主機正在執行資訊安全性管理系統 Symantec Data Center Security 的 Web 介面。

遠端主機正在執行資訊安全性管理系統 Symantec Data Center Security 的 Web 主控台介面。

根據其版本號碼，遠端 Web 伺服器上安裝的 X2Engine 應用程式為 4.0 之前的版本。因此可能會受到「/protected/controllers/ProfileController.php」指令碼中的一個檔案上傳弱點影響。攻擊者可惡意利用此問題，將任意程式碼上傳至遠端主機以在 Web 伺服器使用者的內容中執行。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

根據其版本號碼，遠端 Web 伺服器上安裝的 X2Engine 應用程式為 3.7.4 之前的版本。因此可能受到多個弱點影響：

  - '/index.php/profile/getEvents' 指令碼的 'lastEventId' 與 'lastTimestamp' HTTP GET 參數中存在多個 SQL 插入弱點。

  - 「/index.php/contacts/create」指令碼的「Contacts[firstName]」、「Contacts[website]」、「Contacts[company]」與「Contacts[interest]」HTTP POST 參數， 
    以及「/index.php/docs/create」指令碼的「Docs[name]」HTTP POST 參數中存在多個跨網站指令碼 (XSS) 弱點。

  - 存在一個任意檔案上傳弱點，這是因為 '/index.php/media/ajaxUpload' 指令碼未正確驗證使用者上傳的檔案所導致。

  - '/index.php/media/ajaxUpload' 指令碼的 'CKEditorFuncNum' HTTP POST 參數中存在一個 DOM 型跨網站指令碼 (XSS) 弱點。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據其版本號碼，遠端 Web 伺服器上安裝的 X2Engine 應用程式為 3.5.1 之前的版本。因此可能受到多個弱點影響：

- 存在一個 PHP 檔案包含弱點，這是因為 ‘/index.php/admin/translationManager’ 指令碼的 ‘file’ HTTP GET 參數清理不充分所導致。(CVE-2013-5692)

- 存在一個跨網站指令碼 (XSS) 弱點，這是因為 ‘index.php/admin/editor’ 指令碼的 ‘model’ HTTP GET 參數清理不充分所導致。
 (CVE-2013-5693)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據遠端主機的標題，其安裝的 PHP 5.6.x 版本比 5.6.6 舊。因此，會受到多個弱點影響：

- GNU C 程式庫 (glibc) 中有一個堆積型緩衝區溢位瑕疵，原因是不當驗證 glibc 函式 __nss_hostname_digits_dots()、gethostbyname() 和 gethostbyname2() 中使用者提供的輸入。這會允許遠端攻擊者造成緩衝區溢位，進而導致拒絕服務或是執行任意程式碼。(CVE-2015-0235)

- 'ext/date/php_date.c' 指令碼的函式 php_date_timezone_initialize_from_hash() 中存在一個釋放後使用瑕疵。攻擊者可能惡意利用此瑕疵，存取敏感資訊或造成連結至 PHP 的應用程式損毀。(CVE-2015-0273)

- PHP-FPM 元件中存在一個 XML 外部實體 (XXE) 瑕疵，是因不當剖析 XML 資料所致。遠端攻擊者可加以惡意利用，透過特製的 XML 資料，洩漏敏感資訊或造成拒絕服務。(CVE-2015-8866)

請注意，Nessus 並未嘗試惡意利用這些問題，而是僅依據應用程式自我報告的版本號碼。

根據遠端主機的標題，其安裝的 PHP 5.5.x 版本比 5.5.22 舊。因此，會受到多個弱點影響：

- GNU C 程式庫 (glibc) 中有一個堆積型緩衝區溢位瑕疵，原因是不當驗證 glibc 函式 __nss_hostname_digits_dots()、gethostbyname() 和 gethostbyname2() 中使用者提供的輸入。這會允許遠端攻擊者造成緩衝區溢位，進而導致拒絕服務或是執行任意程式碼。(CVE-2015-0235)

- 'ext/date/php_date.c' 指令碼的函式 php_date_timezone_initialize_from_hash() 中存在一個釋放後使用瑕疵。攻擊者可能惡意利用此瑕疵，存取敏感資訊或造成連結至 PHP 的應用程式損毀。(CVE-2015-0273)

- PHP-FPM 元件中存在一個 XML 外部實體 (XXE) 瑕疵，是因不當剖析 XML 資料所致。遠端攻擊者可加以惡意利用，透過特製的 XML 資料，洩漏敏感資訊或造成拒絕服務。(CVE-2015-8866) 請注意，Nessus 並未嘗試惡意利用這些問題，而是僅依據應用程式自我報告的版本號碼。

根據遠端主機的標題，其安裝的 PHP 5.4.x 版本比 5.4.38 舊。因此，會受到多個弱點影響：

- GNU C 程式庫 (glibc) 中有一個堆積型緩衝區溢位瑕疵，原因是不當驗證 glibc 函式 __nss_hostname_digits_dots()、gethostbyname() 和 gethostbyname2() 中使用者提供的輸入。這會允許遠端攻擊者造成緩衝區溢位，進而導致拒絕服務或是執行任意程式碼。(CVE-2015-0235)

- 'ext/date/php_date.c' 指令碼的函式 php_date_timezone_initialize_from_hash() 中存在一個釋放後使用瑕疵。攻擊者可能惡意利用此瑕疵，存取敏感資訊或造成連結至 PHP 的應用程式損毀。(CVE-2015-0273)

請注意，Nessus 並未嘗試惡意利用這些問題，而是僅依據應用程式自我報告的版本號碼。

根據其版本號碼，遠端 Web 伺服器上主控的 MantisBT 應用程式為 1.2.19 之前的 1.2.x 版。因此受到以下弱點影響：

- 'admin/install.php' 中存在一個 XSS 弱點，允許遠端攻擊者透過 admin_username 或 admin_password 參數插入任意指令碼資料。
 (CVE-2014-9571)

- 未正確限制對於 '/*/install.php' 的存取，而允許遠端攻擊者透過含有值 4 的安裝參數取得資料庫認證。
 (CVE-2014-9572)

- ‘manage_user_page.php’ 中存在一個 SQLi 弱點，其會允許具有 FILE 權限的遠端系統管理員透過 MANTIS_MANAGE_USERS_COOKIE cookie 執行任意 SQL 命令。(CVE-2014-9573)

- 存在一個瑕疵，允許遠端攻擊者針對相同的挑戰以不同的擾動取得無限數量的 CAPTCHA 範例。這會允許攻擊者繞過 CAPTCHA 測試。(CVE-2014-9624)

- 'core/string_api.php' 中的 'string_sanitize_url' 函式使用不正確的規則運算式，其會允許遠端攻擊者透過 'login_page.php' 之傳回參數中具有 ':/' 分隔符號的 URL 執行開放重新導向與網路釣魚攻擊。(CVE-2015-1042)

請注意，Nessus 並未嘗試惡意利用這個問題，而是僅依據應用程式自我報告的版本號碼。

根據其自我報告的版本，遠端主機上安裝的 CodeMeter WebAdmin 伺服器比 5.20a 舊 (5.20.1458.500)。其受 'codemeter.exe' 服務不安全的讀/寫權限影響，本機攻擊者可加以惡意利用來透過特洛伊木馬檔案取得提升權限。

根據其版本號碼，遠端 web 伺服器上安裝的 X2Engine 應用程式可能受到多個弱點影響：

- 存在一個 PHP 物件插入弱點，可用來利用特製的序列化物件，發動伺服器端要求偽造 (SSRF) 攻擊。攻擊者可透過「SiteController.php」指令碼的 'report' HTTP POST 參數，傳送特製的序列化要求，藉此惡意利用此問題。(CVE-2014-5297)

- 指令碼「FileUploadsFilter.php」中存在一個檔案上傳弱點，是因常數「FileUploadsFilter::EXT_BLACKLIST」中包含之 regex 的區分大小寫檔案名稱檢查所致。攻擊者可使用副檔名中含有大寫字母之特製檔案名稱，繞過檔案上傳限制，以載入並執行任意 PHP 指令碼，只要 X2Engine 在不區分大小寫檔案系統或組態下執行便可。
 (CVE-2014-5298)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

在遠端主機上偵測到 X2Engine，這是一種 PHP 型開放原始碼銷售客戶關係管理應用程式。

根據其標題，遠端主機上執行的 Bugzilla 版本可能受到下列弱點的影響：

- 存在一個因不正確使用適用於 open() 的 3 引數表單所導致的命令插入弱點。此弱點允許經過驗證且具有「editcomponents」權限的遠端攻擊者在屬性中插入命令。(CVE-2014-8630)

- WebServices API 中存在一個資訊洩漏弱點。攻擊者可從非 WebServices 模組執行匯入的函式。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端主機執行的 NetIQ Access Manager 4.0 版本缺少 Service Pack 1 hotfix 3。因此受到以下弱點影響：

- webacc servlet 的 ‘query’ 參數中存在一個 XML 實體插入 (XXE) 瑕疵，可允許經驗證在執行 web 應用程式的使用者具有存取權的系統上檢視任何檔案的內容，包括 ‘/etc/password’ 檔案。
 (CVE-2014-5214)

- 經驗證的使用者可透過 ‘debug.jsp’ 和 ‘dev_services.jsp’ 頁面，取得下列受保護系統內容的存取權：
 - com.volera.vcdn.monitor.password
 - com.volera.vcdn.alert.password
 - com.volera.vcdn.sync.password
 - com.volera.vcdn.scheduler.password
 - com.volera.vcdn.publisher.password
 - com.volera.vcdn.application.sc.scheduler.password
 - com.volera.vcdn.health.password (CVE-2014-5215)

- 多種頁面上的參數中存在多個反射跨網站指令碼 (XSS) 瑕疵。
 (CVE-2014-5216)

- webacc servlet 中存在一個跨網站要求偽造 (XSRF) 弱點，會允許攻擊者使用特製要求來變更管理主控台的管理密碼。但前提是系統管理員必須遭誘騙而在受驗證工作階段的內容中執行該要求。
 (CVE-2014-5217)

遠端伺服器上存有網路存取管理 Web 應用程式 NetIQ Access Manager。可以從遠端識別主要版本和 Support Pack，不過，hotfix 資訊需要有效的 HTTP 登入認證才能擷取。

遠端 Web 伺服器上安裝的 EventLog Analyzer 版本受多個資訊洩漏弱點影響：

- 'agentHandler' servlet 中存在一個瑕疵，可允許遠端攻擊者擷取使用者名稱與密碼雜湊及其他敏感資訊。(CVE-2014-6038)

- 'hostdetails' servlet 中存在一個瑕疵，可允許遠端攻擊者擷取 EventLog Analyzer 所管理系統的使用者名稱與密碼。(CVE-2014-6039)

請注意，Nessus 只會檢查 CVE-2014-6038 所概述的瑕疵；
但是，此版本很可能也受 CVE-2014-6039 所概述的瑕疵影響。

Nessus 可使用「admin」帳戶的預設密碼登入遠端 FortiAuthenticator 裝置。遠端攻擊者可惡意利用此弱點來取得裝置的管理控制權。

遠端主機正在執行 Fortinet FortiAuthenticator 應用裝置 (身分管理解決方案) 的 Web 介面。

遠端主機上執行的 ManageEngine OpManager 版本受到一個 SQL 插入弱點影響，這是因為無法驗證 UpdateProbeUpgradeStatus servlet 的「probeName」參數所導致。未經驗證的遠端攻擊者可惡意利用此弱點，修改應用程式的資料庫並可能取得管理權限。

遠端 ManageEngine OpManager Web 管理介面使用一組已知的硬式編碼預設認證。攻擊者可利用這些預設認證取得遠端主機的管理存取權。

遠端主機正在執行受到多個弱點影響的 Zoho ManageEngine OpManager 版本：

- 存在一個盲目式 SQL 插入弱點，是因不當清理使用者對 APMBVHandler Servlet 之「OPM_BVNAME」參數提供的輸入所導致。未經驗證的遠端攻擊者可惡意利用此弱點，修改應用程式的資料庫並可能取得管理權限。(CVE-2014-7868 / CVE-2016-82014)

- 存在一個反映式跨網站指令碼 (XSS) 弱點，是因不當驗證使用者對 APMBVHandler Servlet 之「OPM_BVNAME」參數提供的輸入所導致。內容相依的攻擊者可加以惡意利用，透過特製的要求，在使用者的瀏覽器工作階段中執行任意指令碼。
 (CVE-2016-82015)

請注意，存在其他 SQL 插入弱點；但是，Nessus 尚未對這些弱點進行測試。

遠端主機上安裝的 ManageEngine OpManager 版本受到多個目錄遊走弱點影響：

- FileCollector servlet 上傳檔案時，未正確清理使用者在「regionID」和「’FILENAME」參數中提供的輸入。這會讓遠端攻擊者和經過驗證的使用者寫入並執行任意 WAR 檔案。
 (CVE-2014-6034、CVE-2014-6035)

- multipartRequest servlet 未正確清理使用者在「fileName」參數中提供的輸入。這會讓遠端攻擊者和經過驗證的使用者刪除任意檔案。(CVE-2014-6036)

請注意，Nessus 已測試兩個目錄遊走和檔案上傳弱點，但並未測試任意程式碼執行或檔案刪除弱點。如果可以透過目錄遊走攻擊上傳檔案，則這些執行和刪除瑕疵也可能遭到利用。

OpManager 是一種網路及資料中心管理工具，已安裝在遠端 web 伺服器上。

ActiveMQ Web 主控台是 Apache ActiveMQ 的系統管理介面，使用預設認證加以保護。請注意，在 5.4.0 版之前，未提供任何驗證機制。不過，在 5.4.0 版中可以選擇 HTTP 基本驗證，而且從 5.8.0 版開始，預設會啟用這個驗證。

遠端主機上執行的 Apache ActiveMQ 版本為 5.10.1 / 5.11.0 之前的 5.x 版本。因此可能受到多個弱點影響：

  - 未經驗證的遠端攻擊者可透過傳送封包至訊息消耗者或產品連線的相同連接埠來導致 broker 接聽程式損毀，進而導致拒絕服務的情況。(CVE-2014-3576)

  - 存在一個與 XPath 選取器相關的 XML 外部實體 (XXE) 插入弱點。遠端攻擊者可加以惡意利用，透過特製的 XML 資料來洩漏任意檔案的內容。
    (CVE-2014-3600)

  - Java 驗證與授權服務 (JAAS) 的 LDAPLoginModule 中存在一個瑕疵，其可由使用萬用字元運算子而非使用者名稱或無效的密碼進行觸發。遠端攻擊者可加以惡意利用而繞過驗證。
    (CVE-2014-3612)

  - web 管理主控台中存在多個跨網站指令碼 (XSS) 弱點。(CVE-2014-8110)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Citrix NetScaler 裝置受到管理介面中一個不明的未授權遠端存取弱點影響。

遠端主機上執行的記錄收集與分析系統 Graylog2 使用一組已知的預設認證。

Graylog2 的遠端版本受到一個弱點影響，此弱點允許遠端攻擊者在安裝設定為使用 LDAP 驗證時，使用特製的萬用字元繞過驗證機制。

在遠端主機上偵測到記錄收集與分析平台 Graylog2 的 Web 介面。

如果登入認證是在 HTTPS 上提供，則可能擷取版本資訊。

根據其自我報告的版本，遠端主機上的 HP SiteScope 安裝是比 11.13 舊的 11.1x 版，或比 11.24 IP3 舊的 11.2x 版。可能會受到一個權限提升弱點的影響，具有授權的使用者可在系統中取得未指派給其角色使用的權限。

遠端 Web 伺服器主控的 FreePBX 版本受到 FreePBX ARI Framework 模組 / Asterisk Recording Interface (ARI) 中的一個驗證繞過弱點影響。未經驗證的遠端攻擊者可惡意利用此問題，透過 ‘ari_auth’ HTTP Cookie 使用特製要求，進而取得 FreePBX 伺服器的完整系統管理員存取權。因此，攻擊者便能在遠端主機上執行任意程式碼。

根據其版本，遠端主機上安裝的 Atmail Webmail 是比 7.2.2 舊的 7.x 版。因此，該應用程式受到以下弱點影響：

  - 存在一個允許跨網站指令碼 (XSS) 攻擊的不明輸入驗證錯誤。

  - 存在一個允許跨網站要求偽造攻擊 (XSRF) 的不明輸入驗證錯誤。

根據其自我報告的版本號碼，遠端主機上執行的 Atmail Webmail 已經不受支援。

不再支援表示廠商不再對於產品提供任何新的安全性修補程式。因此，作業系統可能包含安全性弱點。

遠端 web 伺服器上主控的 Pandora FMS 主控台為 5.1 SP1 或更舊版本。因此會因為 ‘index.php’ 中的瑕疵而受到跨網站指令碼弱點影響，其中 ‘refr’ 參數在傳回給使用者之前，未經過正確驗證。這可讓遠端攻擊者在使用者的瀏覽器工作階段中執行任意指令碼。

請注意，供應商針對此弱點提供的修正不會更新應用程式所報告的版本號碼。如果已套用此修正，請忽略這個發現。

遠端 web 伺服器上主控的 Pandora FMS 主控台為 5.0 SP2 或更舊版本。因此受到透過行動登入介面的「user」參數造成的 SQL 插入弱點影響，遠端攻擊者可惡意利用此弱點，將 SQL 查詢插入後端資料庫，進而導致洩漏或操控資料。

根據遠端主機的標題，其安裝的 PHP 5.6.x 版本比 5.6.5 舊。因此受到多個弱點影響：

- nmap 用於處理以雜湊字元 (#) 開頭但缺少新行字元的無效檔案時，檔案「cgi_main.c」中存在一個超出邊界讀取瑕疵。
 遠端攻擊者可使用特製的 PHP 檔案惡意利用此弱點，藉此洩漏記憶體內容，進而造成拒絕服務或可能執行程式碼。(CVE-2014-9427)

- 在「gd_gif_in.c」的 GetCode_() 函式中存在一個超出邊界讀取問題。這會允許遠端攻擊者洩漏記憶體內容。(CVE-2014-9709)

-「var_unserializer.re」的 process_nested_data() 函式中存在一個釋放後使用記憶體錯誤，原因是不當處理物件序列化內容中的重複數值金鑰。遠端攻擊者可使用特製的還原序列化方法呼叫來惡意利用此弱點，造成任意程式碼執行。
 (CVE-2015-0231)

- 「exif.c」的 exif_process_unicode() 函式中存在一個瑕疵，會允許釋放未初始化的指標。遠端攻擊者可利用 JPEG 影像中特製的 EXIF 資料來惡意利用此問題，造成拒絕服務或是執行任意程式碼。(CVE-2015-0232)

請注意，Nessus 並未嘗試惡意利用這些問題，而是僅依據應用程式自我報告的版本號碼。

根據遠端主機的標題，其安裝的 PHP 5.5.x 版本比 5.5.21 舊。因此受到多個弱點影響：

- nmap 用於處理以雜湊字元 (#) 開頭但缺少新行字元的無效檔案時，檔案「cgi_main.c」中存在一個超出邊界讀取瑕疵。
 遠端攻擊者可使用特製的 PHP 檔案惡意利用此弱點，藉此洩漏記憶體內容，進而造成拒絕服務或可能執行程式碼。(CVE-2014-9427)

- 在「gd_gif_in.c」的 GetCode_() 函式中存在一個超出邊界讀取問題。這會允許遠端攻擊者洩漏記憶體內容。(CVE-2014-9709)

-「var_unserializer.re」的 process_nested_data() 函式中存在一個釋放後使用記憶體錯誤，原因是不當處理物件序列化內容中的重複數值金鑰。遠端攻擊者可使用特製的還原序列化方法呼叫來惡意利用此弱點，造成任意程式碼執行。
 (CVE-2015-0231)

- 「exif.c」的 exif_process_unicode() 函式中存在一個瑕疵，會允許釋放未初始化的指標。遠端攻擊者可利用 JPEG 影像中特製的 EXIF 資料來惡意利用此問題，造成拒絕服務或是執行任意程式碼。(CVE-2015-0232)

請注意，Nessus 並未嘗試惡意利用這些問題，而是僅依據應用程式自我報告的版本號碼。

根據遠端主機的標題，其安裝的 PHP 5.4.x 版本比 5.4.37 舊。因此受到多個弱點影響：

- nmap 用於處理以雜湊字元 (#) 開頭但缺少新行字元的無效檔案時，CGI 元件在檔案「cgi_main.c」中有一個超出邊界讀取瑕疵。遠端攻擊者可使用特製的 PHP 檔案惡意利用此弱點，藉此洩漏記憶體內容，進而造成拒絕服務或可能執行程式碼。(CVE-2014-9427)

- 'var_unserializer.re' 內的 'process_nested_data' 函式中存在一個釋放後使用記憶體錯誤，原因是不當處理物件序列化內容中的重複數值金鑰。遠端攻擊者可使用特製的還原序列化方法呼叫來惡意利用此弱點，造成任意程式碼執行。
 (CVE-2015-0231)

- 'exif.c' 內的 'exif_process_unicode' 函式中存在一個瑕疵，會允許釋放未初始化的指標。遠端攻擊者可利用 JPEG 影像中特製的 EXIF 資料來惡意利用此問題，造成拒絕服務或是執行任意程式碼。(CVE-2015-0232)

請注意，Nessus 並未嘗試惡意利用這些問題，而是僅依據應用程式自我報告的版本號碼。

Oracle Fusion Middleware 安裝中的遠端 Oracle OpenSSO 元件缺少供應商提供的安全性更新。因此會受到 SAML 子元件中的多個不明弱點影響。

請注意，這些是 Oracle 的不明弱點，但似乎是跨網站指令碼弱點。

Oracle Real User Experience Insight 12.1.0.6 版本缺少 2014 年 10 月重要修補程式更新。因此會受到不明弱點影響，經驗證的遠端使用者可惡意利用該弱點來影響機密性和完整性。

遠端主機上安裝了 Oracle Real User Experience Insight，這是一款用來測量使用者的應用程式體驗的 Web 應用程式。

遠端主機上執行的 ManageEngine Password Manager Pro 比 7.0 Build 7003 舊。因此受到一個 SQL 插入弱點影響，這是因為驗證 ‘sv’ 參數失敗所導致。遠端攻擊者可利用此瑕疵操控或洩漏任意資料。

遠端 ManageEngine Password Manager Pro web 管理介面使用一組已知的預設認證。攻擊者可利用這些預設認證取得遠端主機的存取權。

遠端主機上執行的 ManageEngine Password Manager Pro 版本介於 6.5 (含) 和 7.1 Build 7105 之間。因此會受到一個盲目式 SQL 插入弱點影響，該弱點是因驗證 ‘SEARCH_ALL’ 參數失敗所導致。

遠端 Web 伺服器託管 ManageEngine Password Manager Pro，這是以 Java 語言撰寫的 Web 式密碼管理應用程式。

根據其版本號碼，遠端 Web 伺服器上主控的 MantisBT 應用程式為 1.2.18 之前的 1.2.x 版。因此受到以下弱點影響：

- 存在多個輸入驗證錯誤，可導致跨網站指令碼攻擊。(CVE-2014-7146、CVE-2014-8986、CVE-2014-8987、CVE-2014-9269、CVE-2014-9270、CVE-2014-9271、CVE-2014-9272、CVE-2014-9280、CVE-2014-9281)

- 存在兩個不明錯誤，可導致 SQL 插入攻擊。(CVE-2014-8554、CVE-2014-9089)

- 存在三個不明錯誤，可導致資訊洩漏攻擊。(CVE-2014-8553、CVE-2014-8988、CVE-2014-9279)

- 在 ‘core/string_api.php’ 檔案中存在一個錯誤，可導致開放重新導向攻擊。(CVE-2014-6316)

- 在 ‘gpc_api.php’ 檔案中存在一個錯誤，可允許攻擊者透過使用 NULL 位元組開頭的密碼，繞過驗證保護。
 (CVE-2014-6387)

- 在 ‘XML Import/Export’ 外掛程式中存在一個錯誤，可允許未經授權的攻擊者上傳 XML 檔案或取得敏感資訊。(CVE-2014-8598)

- 存在一個與 CAPTCHA 保護機制和 ‘public_key’ 參數相關的錯誤，可導致安全性繞過。(CVE-2014-9117)

請注意，Nessus 並未嘗試惡意利用這個問題，而是僅依據應用程式自我報告的版本號碼。

根據其版本號碼，遠端 Web 伺服器上主控的 MantisBT 應用程式為 1.2.13 或更新版本，但在 1.2.17 之前。因此會受到輸入驗證錯誤的影響，該錯誤與指令碼「admin_config_report.php」中的「filter_config_id」參數相關，這可能允許進行 SQL 插入攻擊。

請注意，Nessus 並未嘗試惡意利用這個問題，而是僅依據應用程式自我報告的版本號碼。

遠端主機上安裝的 IBM Endpoint Manager Mobile Device Manager 延伸模組受到一個遠端程式碼執行弱點影響，是因其使用靜態 secret_token 值所致。未經驗證的遠端攻擊者可利用特製的惡意工作階段 cookie，在 Ruby 應用程式重新整理 cookie 時，以系統管理員權限執行任意程式碼。

遠端主機正在執行 IBM Endpoint Manager Enrollment and Apple iOS Management Extender。這些是 IBM Endpoint Manager for Mobile Devices 隨附的 web 應用程式元件。

遠端 Web 伺服器上主控的 ALCASAR 網路存取控制器受到一個遠端程式碼執行弱點影響，這是因為並未正確清理使用者向傳遞至「index.php」指令碼的「host」HTTP 標頭提供的輸入所致。未經驗證的遠端攻擊者可惡意利用此問題，執行需要 Web 伺服器使用者權限的任意命令。

ID	名稱	嚴重性
81548	Symantec Data Center Security Web 管理介面偵測	info
81547	Symantec Data Center Security Web 主控台介面偵測	info
81515	X2Engine < 4.0 ProfileController.php 不受限制的檔案上傳弱點	high
81514	X2Engine < 3.7.4 多個弱點	medium
81513	X2Engine < 3.5.1 多個弱點	high
81512	PHP 5.6.x < 5.6.6 多個弱點 (GHOST)	critical
81511	PHP 5.5.x < 5.5.22 多個弱點 (GHOST)	critical
81510	PHP 5.4.x < 5.4.38 多個弱點 (GHOST)	critical
81495	MantisBT 1.2.x < 1.2.19 多個弱點	high
81439	CodeMeter < 5.20 本機權限提升弱點	high
81438	X2Engine < 4.2 多個弱點	high
81437	X2Engine 偵測	info
81424	Bugzilla < 4.0.16 / 4.2.12 / 4.4.7 / 5.0rc1 多個弱點	medium
81405	NetIQ Access Manager 4.0 < 4.0 SP1 Hotfix 3 多個弱點	medium
81404	NetIQ Access Manager 偵測	info
81402	ManageEngine EventLog Analyzer 'agentHandler' 資訊洩漏	medium
81384	Fortinet FortiAuthenticator 預設認證	critical
81382	Fortinet FortiAuthenticator 應用裝置 Web 介面偵測	info
81381	ManageEngine OpManager 'probeName' SQL 插入弱點	high
81380	ManageEngine OpManager 預設認證	high
81379	Zoho ManageEngine OpManager 'OPM_BVNAME' 多個弱點	high
81378	ManageEngine OpManager 多個目錄遊走弱點	high
81377	ManageEngine OpManager 偵測	info
81375	Apache ActiveMQ Web 主控台預設認證	high
81374	Apache ActiveMQ 5.x < 5.10.1/5.11.0 多個弱點	high
81316	Citrix NetScaler 不明的未授權遠端存取 (CTX200254)	medium
81260	Graylog2 Default Credentials	high
81259	Graylog2 LDAP 驗證繞過弱點	medium
81258	Graylog2 Web 介面偵測	info
81206	HP SiteScope 11.1x < 11.13 或 11.2x < 11.24 IP3 遠端權限提升	high
81182	FreePBX /recordings/index.php ‘ari_auth’ Cookie 驗證繞過	critical
81181	Atmail Webmail 7.x < 7.2.2 多個弱點	medium
81180	Atmail Webmail 不支援的版本偵測	critical
81166	Pandora FMS <= 5.1 SP1 XSS	medium
81148	Pandora FMS <= 5.0 SP2 SQLi	high
81082	PHP 5.6.x < 5.6.5 多個弱點	critical
81081	PHP 5.5.x < 5.5.21 多個弱點	critical
81080	PHP 5.4.x < 5.4.37 多個弱點	high
81023	Oracle OpenSSO SAML 多個弱點 (2015 年 1 月 CPU)	low
81001	Oracle Real User Experience Insight 2014 年 10 月 CPU	medium
81000	Oracle Real User Experience Insight 偵測	info
80962	ManageEngine Password Manager Pro < 7.0 Build 7003 SQL 插入	high
80961	ManageEngine Password Manager Pro 預設認證	high
80960	ManageEngine Password Manager Pro 6.5 < 7.1 Build 7105 盲目式 SQL 插入	medium
80959	ManageEngine Password Manager Pro 偵測	info
80914	MantisBT 1.2.x < 1.2.18 多個弱點	high
80913	MantisBT 1.2.13 - 1.2.16「admin_config_report.php」SQLi	medium
80866	IBM Endpoint Manager Mobile Device Management 元件未經驗證的遠端程式碼執行 (swg21691701)	high
80865	IBM Endpoint Manager Enrollment and Apple iOS Management Extender 偵測	info
80863	ALCASAR ‘index.php’ 特製 HTTP 標頭 RCE	high

偵測

Nessus 的 CGI abuses 系列

info

info

high

medium

high

critical

critical

critical

high

high

high

info

medium

medium

info

medium

critical

info

high

high

high

high

info

high

high

medium

high

medium

info

high

critical

medium

critical

medium

high

critical

critical

high

low

medium

info

high

high

medium

info

high

medium

high

info

high