遠端主機上執行的 Golang 版本為 1.22.2 之前的 1.22.x 版。因此，會受到一個拒絕服務 (DoS) 弱點影響。回應查詢時格式錯誤的 DNS 訊息可造成 Lookup 函式在無限迴圈中停滯。

請注意，Nessus 並未測試這些問題，而是僅根據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 R 程式設計語言版本為比 4.4.0 舊的 1.4.0 或更新版本。因此受到還原序列化弱點的影響。可能會發生不受信任的資料還原序列化，進而讓惡意特製的 RDS (R 資料序列化) 格式檔案或 R 套件在與之互動時，在最終使用者的系統上執行任意程式碼。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Linux 主機上已安裝 Microsoft Azure Command-Line 介面 (CLI)。

遠端 Linux 主機上已安裝 F5 BIG-IP Next Central Manager。

遠端主機上已安裝 TensorFlow Python 程式庫。 

請注意，Nessus 依據應用程式自我報告的版本號碼而作出判斷。

遠端 Web 伺服器主控了一個 ZenML Web 應用程式

遠端主機上安裝的 ArubaOS 版本受到多個弱點影響：

  - 多個基礎服務中存有緩衝區溢位弱點，透過傳送目的地為 PAPI (Aruba 的存取點管理通訊協定) UDP 連接埠 (8211) 的特製封包，可導致未經驗證的遠端程式碼執行。若成功惡意利用這些弱點，則可導致在基礎作業系統上以有權限的使用者身分執行任意程式碼。(CVE-2024-26305) 

  - 基礎 L2/L3 管理服務中存有緩衝區溢位弱點，透過傳送目的地為 PAPI (Aruba 的存取點管理通訊協定) UDP 連接埠 (8211) 的特製封包，可導致未經驗證的遠端程式碼執行。若成功惡意利用此弱點，則可導致在基礎作業系統上以有權限的使用者身分執行任意程式碼。(CVE-2024-26304)

  - 基礎自動報告服務中存有緩衝區溢位弱點，透過傳送目的地為 PAPI (Aruba 的存取點管理通訊協定) UDP 連接埠 (8211) 的特製封包，可導致未經驗證的遠端程式碼執行。若成功惡意利用此弱點，則可導致在基礎作業系統上以有權限的使用者身分執行任意程式碼。(CVE-2024-33511)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 mongo-express Node.js 模組為 0.54.0 之前的版本。因此會受到透過使用「toBSON」方法端點的遠端程式碼執行弱點影響。誤用「vm」相依性允許在不安全的環境中執行「exec」命令。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle Communications 的 Oracle Enterprise Session Border Controller 產品版本 8.4 和 9.0 受到 2022 年 1 月 CPU 公告中提及的多個弱點影響，包括：

  - 攻擊此弱點的難度較小，經由 HTTP 存取網路的低權限攻擊者可以藉此入侵 Oracle Enterprise Session Border Controller (元件：WebUI)。雖然弱點位於 Oracle Enterprise Session Border Controller 中，但攻擊可能對其他產品造成重大影響。成功攻擊此弱點可導致未經授權便能更新、插入或刪除部分可供存取之 Oracle Enterprise Session Border Controller 資料的存取權，以及未經授權地讀取部分資料 (CVE-2022-21381) 或未經授權便能建立、刪除或修改重要資料或所有 Oracle Enterprise Session Border Controller 的可存取資料 (CVE-2022-21382)。

  - 攻擊此弱點的難度較小，經由 HTTP 存取網路的低權限攻擊者可以藉此入侵 Oracle Enterprise Session Border Controller (元件：Log)。若攻擊成功，攻擊者未經授權即可造成 Oracle Enterprise Session Border Controller 局部拒絕服務 (局部 DOS)。(CVE-2022-21383)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 Atlassian Jira Service Management Data Center and Server (Jira Service Desk) 版本受到 JSDSERVER-15248 公告中提及的一個弱點影響。

  - 在 9.37.2 之前的 Connect2id Nimbus JOSE+JWT 中，攻擊者可透過 PasswordBasedDecrypter (PBKDF2) 元件的大型 JWE p2c 標頭值 (即反覆計數)，造成拒絕服務 (資源消耗)。(CVE-2023-52428)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 IBM MQ Server 版本受到 7123139 公告中提及的一個弱點影響。

  - 在 IBM MQ 和 IBM MQ Appliance 9.0、9.1、9.2、9.3 LTS 和 9.3 CD 中，由於緩衝邏輯不正確，未經驗證的遠端攻擊者可藉此造成拒絕服務。IBM X-Force ID：281279。
    (CVE-2024-25016)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 IBM MQ Server 版本受到 7149584 公告中提及的多個弱點影響。

  - 問題摘要：檢查過長無效 RSA 公開金鑰可能需要很長時間。影響摘要：
    使用 EVP_PKEY_public_check() 函式檢查 RSA 公開金鑰的應用程式可能會遇到長時間延遲。如果要檢查的金鑰是從未受信任的來源取得，這可能會導致拒絕服務。對 RSA 公開金鑰呼叫 EVP_PKEY_public_check() 函式時，系統會完成計算以確認 RSA 模數 n 是否為複合金鑰。針對有效的 RSA 金鑰，n 是兩個或多個大質數的乘積，且此運算可快速完成。但是，如果 n 是過大的質數，則此計算會花費很長時間。應用程式如果呼叫 EVP_PKEY_public_check() 並提供從未受信任之來源取得的 RSA 金鑰，則容易遭受拒絕服務攻擊。EVP_PKEY_public_check() 函式並非從其他 OpenSSL 函式呼叫，而是從 OpenSSL pkey 命令行應用程式呼叫。因此，在處理未受信任的資料時，若使用「-pubin」和「-check」選項，應用程式也易受到攻擊。OpenSSL SSL/TLS 實作不受此問題影響。OpenSSL 3.0 和 3.1 FIPS 提供者受此問題影響。(CVE-2023-6237)

  - 問題摘要：處理惡意格式化的 PKCS12 檔案可能會導致 OpenSSL 損毀，進而導致潛在的拒絕服務攻擊 影響摘要：從不受信任的來源載入 PKCS12 格式檔案的應用程式可能會突然終止。PKCS12 格式的檔案可包含憑證和金鑰，且可能來自未受信任的來源。PKCS12 規格允許特定欄位為 NULL，但 OpenSSL 未正確檢查此情況。這可導致 NULL 指標解除參照，進而導致 OpenSSL 損毀。如果應用程式使用 OpenSSL API 處理來自未受信任來源的 PKCS12 檔案，則該應用程式將容易受此問題影響。容易受到此弱點影響的 OpenSSL API 是：
    PKCS12_parse()、PKCS12_unpack_p7data()、PKCS12_unpack_p7encdata()、PKCS12_unpack_authsafes() 和 PKCS12_newpass()。我們也已修復 SMIME_write_PKCS7() 中的一個類似問題。不過，由於此函式與寫入資料有關，因此我們認為其安全性不重大。3.2 、3.1 和 3.0 中的 FIPS 模組不受此問題影響。(CVE-2024-0727)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 IBM MQ Server 版本受到 7149586 公告中提及的多個弱點影響。

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Security)。受影響的支援版本是 Oracle Java SE：8u391、8u391-perf、11.0.21、17.0.9、21.0.1；Oracle GraalVM for JDK：17.0.9、21.0.1；Oracle GraalVM 企業版：20.3.12、21.3.8 和 22.3.4。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。成功攻擊此弱點可導致未經授權便能建立、刪除或修改重要資料或所有可供存取之 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版資料的存取權，以及未經授權地存取重要資料或能完全存取所有 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版的可存取資料。
    注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，此部署通常在伺服器中。(CVE-2024-20952)

  - IBM GSKit-Crypto 可讓遠端攻擊者取得敏感資訊，這是因為 RSA 解密實作中的計時型旁路所致。攻擊者可藉由傳送過多的試用訊息進行解密，惡意利用此弱點來取得敏感資訊。IBM X-Force ID：
    257132。(CVE-2023-33850)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 IBM MQ Server 版本受到 7149581 公告中提及的一個弱點影響。

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Security)。受影響的支援版本是 Oracle Java SE：8u391、8u391-perf、11.0.21、17.0.9、21.0.1；Oracle GraalVM for JDK：17.0.9、21.0.1；Oracle GraalVM 企業版：20.3.12、21.3.8 和 22.3.4。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。成功攻擊此弱點可導致未經授權便能建立、刪除或修改重要資料或所有可供存取之 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版資料的存取權，以及未經授權地存取重要資料或能完全存取所有 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版的可存取資料。
    注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，此部署通常在伺服器中。(CVE-2024-20952)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Nessus Network Monitor 低於 6.4.0 版。因此，會受到 TNS-2024-07 公告中所提及的多個弱點影響。

  - Nessus Network Monitor 利用第三方軟體協助提供基礎功能。目前發現其中多個第三方元件 (hyperscan、curl 和 c-ares) 中存在弱點，廠商已提供更新版。出於慎重和符合良好實務的考量，Tenable 已選擇升級這些元件，以解決這些問題的潛在影響。Nessus Network Monitor 6.4.0 已將 hyperscan 更新至 5.4.2 版、將 curl 更新至 8.6.0 版、將 c-ares 更新至 1.28.0 版。Tenable 已發布 Nessus Network Monitor 6.4.0 版以解決這些問題。可從 Tenable 下載入口網站 (https://www.tenable.com/downloads/nessus-network-monitor) 取得安裝檔案。(CVE-2023-28711、CVE-2023-46218、CVE-2023-46219、CVE-2024-25629)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Linux 主機上安裝了 Dell Repository Manager。

遠端主機上的 torchserve 版本為 2.11.3 之前的版本。因此，它受到 api/cors 端點中的伺服器端要求偽造弱點影響。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 Ivanti Avalanche 受到堆積型緩衝區溢位弱點的影響。未經驗證的遠端攻擊者可利用此問題，透過特製的訊息來導致服務中斷或任意程式碼執行。

遠端主機上安裝的 Facade Ignition 為 1.16.14 之前版本、2.4.2 之前的 2.x 版或 2.5.2 之前的 2.5.x 版。因此會受到遠端程式碼執行弱點影響。Laravel 及其他產品中所使用的 Ignition 2.5.2 之前版本允許未經驗證的遠端攻擊者執行任意程式碼，這是 file_get_contents() 和 file_put_contents() 的使用方式不安全所導致。在使用 Laravel 8.4.2 之前版本的除錯模式的網站上，此弱點可能會遭到利用。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。另請注意，此 plugin 不會區分透過 OS 套件管理員安裝的 PHP 套件、透過 Composer 或其他來源安裝的 PHP 套件。因此，您的 OS 套件存放庫所提供的套件可能具有反向移植的修正，此 plugin 可能誤將其報告為有弱點。請參閱 CVE-2021-3129 的 OS 特定 plugin，以檢查是否有反向移植修正。

遠端 Web 伺服器主控 H2O Flow Web 應用程式

偵測到的 SAP BTP python 套件 sap-xssec 版本比 4.1.0 舊。因此會受到權限提升弱點影響。未經驗證的遠端攻擊者可加以惡意利用，在應用程式內取得任意權限。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

在遠端主機上偵測到 Chef Manage。

在遠端主機上偵測到 Chef Infra Client。

遠端主機上執行的 IBM MQ Server 版本受到 7123135 公告中提及的一個弱點影響。

  - 1.15.4 之前的套件 follow-redirects 版本容易受到不當輸入驗證影響，這是因為 url.parse() 函式不當處理 URL 所致。當新的 URL() 擲回錯誤時，其可加以操控以錯誤解譯主機名稱。攻擊者可惡意利用此弱點，將流量重新導向至惡意網站，進而可能導致資訊洩漏、網路釣魚攻擊或其他安全性漏洞。(CVE-2023-26159)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 IBM MQ Server 版本受到 7149583 公告中提及的一個弱點影響。

  - IBM MQ Internet Pass-Thru 可允許遠端使用者傳送會消耗所有可用資源的 HTTP 要求，進而造成拒絕服務。(CVE-2024-25015)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 IBM MQ Server 版本受到 7149582 公告中提及的一個弱點影響。

  - IBM MQ 容易受到堆積型緩衝區溢位攻擊，這是由邊界檢查不當引致的。未經身分驗證的遠端攻擊者可在系統上造成緩衝區溢位並執行任意程式碼，或造成應用程式損毀。(CVE-2024-25048)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 aioHTTP 版本比 3.9.4 舊。因此會受到一個跨網站指令碼 (XSS) 弱點影響。aiohttp 是適用於 asyncio 和 Python 的非同步 HTTP 用戶端/伺服器架構。在靜態檔案處理的索引頁面上存在一個 XSS 弱點。此弱點已在 3.9.4 中修正。我們一律建議使用反向代理伺服器 (例如 nginx) 處理靜態檔案。遵循建議的使用者不受影響。如果無法升級，其他使用者可停用「show_index」。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。另請注意，此 plugin 不會區分透過 OS 套件管理員安裝的 Python 套件、透過 PIP 或其他來源安裝的 Python 套件。因此，您的 OS 套件存放庫所提供的套件可能具有反向移植的修正，此 plugin 可能誤將其報告為有弱點。請參閱 CVE-2024-27306 的 OS 特定 plugin，以檢查是否有反向移植修正。

遠端主機上安裝的 Docker Engine 版本為比 26.0.2 舊的 26.0.x 版。因此會受到一個非預期資源暴露弱點影響。在受影響的 Moby (一種開放原始碼容器架構，是 Docker Engine、Docker Desktop 和其他容器工具或執行階段發行版本的重要元件) 版本中，網路介面 (包括屬於「--ipv6=false」網路的介面) 上的 IPv6 未停用。具有「ipvlan」或「macvlan」介面的容器通常會設定為與主機電腦共用外部網路連結。
由於有此直接存取權，(1) 容器可能會透過連結本機 IPv6 位址，與本機網路上的其他主機通訊；(2) 如果透過本機網路廣播路由器廣告，容器可能會取得 SLAAC 指派的位址；(3) 介面會成為 IPv6 多點傳送群組的成員。這表示僅限 IPv4 網路中的介面會出現非預期且不必要地增加的攻擊面。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Linux/Unix 主機上已安裝了 CrushFTP 伺服器。請注意，必須「執行徹底的測試」，此外掛程式才能尋找所有 CrushFTP 安裝。

遠端 Linux/Unix 主機上已安裝 Libreswan，這款免費軟體使用「IPsec」和網際網路金鑰交換 (IKE) 實作最廣泛支援及標準化的 VPN 通訊協定。

遠端主機上安裝的 Libreswan 版本在 3.22 與 4.14 之間，或為低於 5.0 的 5.0 (候選版本)。因此，會受到一個拒絕服務 (DoS) 弱點影響。Libreswan Project 得知，若在未指定 esp= 行的情況下使用 IKEv1，有一個問題會造成 libreswan 重新啟動。若對等主機要求 AES-GMAC 時，libreswan 的預設建議處置程式會造成宣告失敗、當機和重新啟動。IKEv2 連線不受影響。

Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端主機上安裝的 Azul Zulu 版本為 6 < 6.61.0.16 / 7 < 7.67.0.16 / 8 < 8.75.0.16 / 11 < 11.69.14 / 17 < 17.47.16 / 21 < 21.31.16 之前的版本。因此會受到 2024-01-16 公告中所提及的多個弱點影響。

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Hotspot)。受影響的支援版本是 Oracle Java SE：8u391、8u391-perf、11.0.21、17.0.9、21.0.1；Oracle GraalVM for JDK：17.0.9、21.0.1；Oracle GraalVM 企業版：20.3.12、21.3.8 和 22.3.4。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。成功攻擊此弱點可導致未經授權便能建立、刪除或修改重要資料或所有可供存取之 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版資料的存取權，以及未經授權地存取重要資料或能完全存取所有 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版的可存取資料。
    注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼) 並且依賴 Java 沙箱獲得安全性的 Java 部署，這通常是在於沙箱中執行的 Java Web Start 應用程式或於沙箱中執行的 Java Applet 用戶端中。
    (CVE-2024-20918)

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Hotspot)。受影響的支援版本是 Oracle Java SE：8u391、8u391-perf、11.0.21、17.0.9、21.0.1；Oracle GraalVM for JDK：17.0.9、21.0.1；Oracle GraalVM 企業版：20.3.12、21.3.8 和 22.3.4。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。成功攻擊此弱點可導致在未經授權的情況下，建立、刪除或修改重要資料或所有可存取的 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise 版本資料。注意：此弱點僅可透過以下方式遭到惡意利用：提供資料給指定元件中的 API 而不使用未受信任的 Java Web Start 應用程式或是未受信任的 Java Applet，如透過 Web 服務。(CVE-2024-20919)

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Hotspot)。受影響的支援版本是 Oracle Java SE：8u391、8u391-perf、11.0.21、17.0.9、21.0.1；Oracle GraalVM for JDK：17.0.9、21.0.1；Oracle GraalVM 企業版：20.3.12、21.3.8 和 22.3.4。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若攻擊成功，攻擊者未經授權即可存取重要資料，或完整存取所有 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版可存取資料。注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署，通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。(CVE-2024-20921)

  - Oracle Java SE 的 Oracle Java SE 和 Oracle GraalVM 企業版產品中的弱點 (元件：JavaFX)。受影響的支援版本是 Oracle Java SE：8u391；Oracle GraalVM Enterprise Edition：20.3.12 和 21.3.8。攻擊此弱點的難度較大，未經驗證的攻擊者若登入 Oracle Java SE、Oracle GraalVM Enterprise Edition 執行所在的基礎架構，即可利用此弱點入侵 Oracle Java SE、Oracle GraalVM Enterprise Edition。若要成功攻擊，必須有攻擊者以外之他人的互動。若成功攻擊此弱點，則可能導致在未經授權的情況下更新、插入或刪除 Oracle Java SE、Oracle GraalVM 企業版的部分可存取資料。注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，此部署通常在伺服器中。(CVE-2024-20922)

  - Oracle Java SE 的 Oracle Java SE 和 Oracle GraalVM 企業版產品中的弱點 (元件：JavaFX)。受影響的支援版本是 Oracle Java SE：8u391；Oracle GraalVM Enterprise Edition：20.3.12 和 21.3.8。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM 企業版。若要成功攻擊，必須有攻擊者以外之他人的互動。若成功攻擊此弱點，則可能導致在未經授權的情況下讀取 Oracle Java SE、Oracle GraalVM 企業版的部分可存取資料。注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，此部署通常在伺服器中。(CVE-2024-20923)

  - Oracle Java SE 的 Oracle Java SE 和 Oracle GraalVM 企業版產品中的弱點 (元件：JavaFX)。受影響的支援版本是 Oracle Java SE：8u391；Oracle GraalVM Enterprise Edition：20.3.12 和 21.3.8。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM 企業版。若要成功攻擊，必須有攻擊者以外之他人的互動。若成功攻擊此弱點，則可能導致在未經授權的情況下更新、插入或刪除 Oracle Java SE、Oracle GraalVM 企業版的部分可存取資料。注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，此部署通常在伺服器中。(CVE-2024-20925)

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Scripting)。受影響的支援版本是 Oracle Java SE：8u391、8u391-perf、11.0.21；Oracle GraalVM for JDK：17.0.9；Oracle GraalVM 企業版：20.3.12、21.3.8 和 22.3.4。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若攻擊成功，攻擊者未經授權即可存取重要資料，或完整存取所有 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版可存取資料。注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署，通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。(CVE-2024-20926)

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Security)。受影響的支援版本是 Oracle Java SE：17.0.9；
    Oracle GraalVM for JDK：17.0.9；Oracle GraalVM 企業版：21.3.8 和 22.3.4。此弱點較易攻擊成功，能夠透過多個通訊協定存取網路的未經驗證攻擊者可惡意利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。成功攻擊此弱點可導致在未經授權的情況下，建立、刪除或修改重要資料或所有可存取的 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise 版本資料。注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，此部署通常在伺服器中。(CVE-2024-20932)

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Security)。受影響的支援版本是 Oracle Java SE：8u391、8u391-perf、11.0.21、17.0.9、21.0.1；Oracle GraalVM for JDK：17.0.9、21.0.1；Oracle GraalVM 企業版：20.3.12、21.3.8 和 22.3.4。攻擊此弱點的難度較大，低權限攻擊者若登入執行 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 的基礎架構，即可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition。
    若攻擊成功，攻擊者未經授權即可存取重要資料，或完整存取所有 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版可存取資料。
    注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼) 並且依賴 Java 沙箱獲得安全性的 Java 部署，這通常是在於沙箱中執行的 Java Web Start 應用程式或於沙箱中執行的 Java Applet 用戶端中。
    (CVE-2024-20945)

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Security)。受影響的支援版本是 Oracle Java SE：8u391、8u391-perf、11.0.21、17.0.9、21.0.1；Oracle GraalVM for JDK：17.0.9、21.0.1；Oracle GraalVM 企業版：20.3.12、21.3.8 和 22.3.4。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。成功攻擊此弱點可導致未經授權便能建立、刪除或修改重要資料或所有可供存取之 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版資料的存取權，以及未經授權地存取重要資料或能完全存取所有 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版的可存取資料。
    注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，此部署通常在伺服器中。(CVE-2024-20952)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Azul Zulu 版本為 6 < 6.63.0.14/7 < 7.69.0.14/8 < 8.77.0.14/11 < 11.71.14/17 < 17.49.16/21 < 21.33.14/22 < 22.30.14.之前的版本。因此，它受到 2024-04-16 公告中所提及的多個弱點影響。

  - 已透過改進檢查解決此問題。此問題已在 macOS Sonoma 14 中修正。處理網路內容可能會導致任意程式碼執行。Apple 所獲報告指出，可能已經有人針對 iOS 16.7 之前的版本主動利用此問題。(CVE-2023-41993)

  - Oracle Java SE 的 Oracle Java SE 和 Oracle GraalVM 企業版產品中的弱點 (元件：JavaFX)。受影響的支援版本是 Oracle Java SE：8u401；Oracle GraalVM Enterprise Edition：20.3.13 和 21.3.9。攻擊此弱點的難度較大，未經驗證的攻擊者若登入 Oracle Java SE、Oracle GraalVM Enterprise Edition 執行所在的基礎架構，即可利用此弱點入侵 Oracle Java SE、Oracle GraalVM Enterprise Edition。若要成功攻擊，必須有攻擊者以外之他人的互動。若成功攻擊此弱點，則可能導致在未經授權的情況下更新、插入或刪除 Oracle Java SE、Oracle GraalVM 企業版的部分可存取資料。注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，且通常存在於伺服器中。(CVE-2024-21002、CVE-2024-21004)

  - Oracle Java SE 的 Oracle Java SE 和 Oracle GraalVM 企業版產品中的弱點 (元件：JavaFX)。受影響的支援版本是 Oracle Java SE：8u401；Oracle GraalVM Enterprise Edition：20.3.13 和 21.3.9。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM 企業版。若要成功攻擊，必須有攻擊者以外之他人的互動。若成功攻擊此弱點，則可能導致在未經授權的情況下更新、插入或刪除 Oracle Java SE、Oracle GraalVM 企業版的部分可存取資料。注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，且通常存在於伺服器中。(CVE-2024-21003、CVE-2024-21005)

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Hotspot)。受影響的支援版本是 Oracle Java SE：8u401、8u401-perf、11.0.22、17.0.10、21.0.2、22；Oracle GraalVM for JDK：17.0.10、21.0.2、22；Oracle GraalVM Enterprise Edition：20.3.13 和 21.3.9。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若攻擊成功，攻擊者可在未經授權的情況下造成 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版局部拒絕服務 (局部 DOS)。注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署，通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。(CVE-2024-21011)

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM Enterprise Edition 產品中的弱點 (元件：Networking)。受影響的支援版本是 Oracle Java SE：11.0.22、17.0.10、21.0.2、22；Oracle GraalVM for JDK：17.0.10、21.0.2、22；Oracle GraalVM Enterprise Edition：
    20.3.13 和 21.3.9。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若攻擊成功，攻擊者可在未經授權的情況下更新、插入或刪除 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 的部分可存取資料。注意：此弱點適用於 Java 部署，通常是在執行沙箱 Java Web Start 應用程式或沙箱 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。此弱點不適用於僅載入並執行受信任程式碼 (例如，系統管理員安裝的程式碼) 的 Java 部署，此部署通常在伺服器中。(CVE-2024-21012)

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Hotspot)。受影響的支援版本是 Oracle Java SE：8u401-perf、11.0.22、17.0.10、21.0.2、22；Oracle GraalVM for JDK：17.0.10、21.0.2、22；Oracle GraalVM Enterprise Edition：21.3.9。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若攻擊成功，攻擊者可在未經授權的情況下更新、插入或刪除 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 的部分可存取資料。注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署，通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。(CVE-2024-21068)

  - Oracle Java SE 的 Oracle Java SE 和 Oracle GraalVM Enterprise Edition 產品中的弱點 (元件：Concurrency)。受影響的支援版本是 Oracle Java SE：8u401、8u401-perf、11.0.22；Oracle GraalVM Enterprise Edition：20.3.13 和 21.3.9。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM 企業版。若成功攻擊此弱點，則可能導致在未經授權的情況下造成 Oracle Java SE、Oracle GraalVM 企業版部分拒絕服務 (部分 DOS)。
    注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼) 並且依賴 Java 沙箱獲得安全性的 Java 部署，這通常是在於沙箱中執行的 Java Web Start 應用程式或於沙箱中執行的 Java Applet 用戶端中。
    (CVE-2024-21085)

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Hotspot)。受影響的支援版本是 Oracle Java SE：8u401、8u401-perf、11.0.22、17.0.10、21.0.2、22；Oracle GraalVM for JDK：17.0.10、21.0.2、22；Oracle GraalVM Enterprise Edition：20.3.13 和 21.3.9。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若攻擊成功，攻擊者可在未經授權的情況下更新、插入或刪除 Oracle Java SE、Oracle GraalVM for JDK 和 Oracle GraalVM Enterprise Edition 的部分可存取資料。注意：使用指定之元件中的 API 可以惡意利用此弱點，例如，透過提供資料給 API 的 Web 服務。此弱點亦適用於 Java 部署，通常是在執行沙箱隔離的 Java Web Start 應用程式或沙箱隔離的 Java Applet 的用戶端中，這種部署會載入並執行不受信任的程式碼 (例如，來自網際網路的程式碼)，並依賴 Java 沙箱獲得安全性。(CVE-2024-21094)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Identity Manager 12.2.1.4.0 版本受到 2024 年 4 月 CPU 公告中提及的多個弱點影響。

  - Oracle Fusion Middleware 的 Oracle Identity Manager 產品中存在的弱點 (元件：Third Party (Quartz))。受影響的支援版本是 12.2.1.4.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Identity Manager。若成功攻擊此弱點，攻擊者便可接管 Oracle Identity Manager。(CVE-2019-13990)

  - Oracle Fusion Middleware 的 Oracle Identity Manager 產品中存在的弱點 (元件：Third Party (jackson-databind))。受影響的支援版本是 12.2.1.4.0。低權限攻擊者可利用難以利用的弱點登入 Oracle Identity Manager 執行所在的基礎結構以入侵 Oracle Identity Manager。若攻擊成功，攻擊者未經授權即可造成 Oracle Identity Manager 懸置或經常重複性當機 (完全 DOS)。(CVE-2023-35116)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Linux/Unix 主機上安裝了 FFmpeg。

其他資訊：

  - 如果啟用「執行全面測試」設定，系統將會搜尋更多路徑，且搜尋的逾時會增加。

  - 透過 Nessus 8.15.1 或更新版本中的「timeout.193599」掃描程式設定，可以將外掛程式逾時設定為自訂值，而非外掛程式預設的 30 分鐘。

    如需詳細資訊，請參閱 https://docs.tenable.com/nessus/Content/SettingsAdvanced.htm#Custom。

遠端主機上安裝的 FFmpeg 版本低於 7.0。因此，它受到多個弱點影響：

  - FFmpeg n6.1-3-g466799d4f5 版包含緩衝區溢位弱點，使本機攻擊者可以透過 de_stereo 元件中的 af_dialoguenhance.c:261:5 執行任意程式碼並造成拒絕服務 (DoS)。(CVE-2023-49528)

  - FFmpeg 7.0 之前版本包含不明弱點。(CVE-2024-28661)

Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端主機上安裝的 Access Manager 12.2.1.4.0 版本受到 2024 年 4 月 CPU 公告中提及的多個弱點影響。

  - Oracle Fusion Middleware 的 Oracle Access Manager 產品中存在弱點 (元件：Webserver Plugin (Apache Xerces-C++))。受影響的支援版本是 12.2.1.4.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的低權限攻擊者可以藉此入侵 Oracle Access Manager。若成功攻擊此弱點，則可接管 Oracle Access Manager。(CVE-2023-37536)

  Oracle Fusion Middleware 的 Oracle Access Manager 產品中存在弱點 (元件：Third Party (Apache Mina))。受影響的支援版本是 12.2.1.4.0。攻擊此弱點的難度較小，經由 TLS 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Access Manager。
    若成功攻擊此弱點，則可能導致在未經授權的情況下存取重要資料，或完整存取所有可供存取的 Oracle Access Manager 資料。(CVE-2019-0231)

  Oracle Fusion Middleware 的 Oracle Access Manager 產品中存在弱點 (元件：Third Party (JetBrains Kotlin))。受影響的支援版本是 12.2.1.4.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle Access Manager。若成功攻擊此弱點，攻擊者未經授權即可更新、插入或刪除部分 Oracle Access Manager 可存取資料。(CVE-2022-24329)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 MySQL Connectors 8.4.0 之前版本受到 2024 年 4 月 CPU 公告中提及的一個弱點影響。- Oracle MySQL 的 MySQL Connectors 產品中存在的弱點 (元件：Connector/Python)。受到影響的支援版本是 8.3.0 和之前的版本。利用此弱點的難度較低，經由多個通訊協定存取網路的未經驗證的攻擊者可藉此入侵 MySQL Connectors。若成功攻擊此弱點，攻擊者可在未經授權的情況下造成 MySQL Connectors 懸置或經常重複性當機 (完全 DOS)。 

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 MySQL Connectors 8.4.0 之前版本受到 2024 年 4 月 CPU 公告中提及的一個弱點影響。

  - Oracle MySQL 的 MySQL Connectors 產品中存在的弱點 (元件：Connector/C++ (OpenSSL))。受到影響的支援版本是 8.3.0 和之前的版本。攻擊此弱點具有難度，可以透過多個通訊協定存取網路的未經驗證攻擊者可藉此入侵 MySQL Connectors。若成功攻擊此弱點，攻擊者可在未經授權的情況下造成 MySQL Connectors 懸置或經常重複性當機 (完全 DOS)，並且未經授權即可更新、插入或刪除某些 MySQL Connectors 可存取資料。(CVE-2023-6129)

  - Oracle MySQL 的 MySQL Connectors 產品中存在的弱點 (元件：Connector/ODBC (OpenSSL))。受到影響的支援版本是 8.3.0 和之前的版本。攻擊此弱點具有難度，可以透過多個通訊協定存取網路的未經驗證攻擊者可藉此入侵 MySQL Connectors。若成功攻擊此弱點，攻擊者可在未經授權的情況下造成 MySQL Connectors 懸置或經常重複性當機 (完全 DOS)，並且未經授權即可更新、插入或刪除某些 MySQL Connectors 可存取資料。(CVE-2023-6129)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Node.js 版本早於 18.20.2、20.12.2 或 21.7.3。因此，它受到 2024 年 4 月 10 日星期三安全性版本公告中提及的多個弱點影響。

    - 由於不當處理 child_process.spawn / child_process.spawnSync 中的批次檔案，即使未啟用 shell 選項，惡意命令行引數仍可插入任意命令並執行程式碼。 

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Java 8u401、20.3.13、21.3.9、11.0.23、17.0.11、21.0.3、22 和 perf 版本受到 2024 年 4 月 CPU 公告中提及的多個弱點影響。

  - Oracle Java SE 的 Oracle Java SE 和 Oracle GraalVM 企業版產品中的弱點 (元件：JavaFX (WebKitGTK))。受影響的支援版本是 Oracle Java SE：8u401；Oracle GraalVM Enterprise Edition：20.3.13 和 21.3.9。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM 企業版。若要成功攻擊，必須有攻擊者以外之他人的互動。若攻擊成功，可導致 Oracle Java SE、Oracle GraalVM Enterprise Edition 被接管。(CVE-2023-41993)

  - Oracle Java SE 的 Oracle GraalVM for JDK 產品中的弱點 (元件：Node (Node.js))。受影響的支援版本是 Oracle GraalVM for JDK：17.0.10、21.0.2 和 22。攻擊此弱點的難度較大，低權限攻擊者可登入 Oracle GraalVM for JDK 執行所在的基礎架構，進而入侵 Oracle GraalVM for JDK。雖然弱點位於 Oracle GraalVM for JDK 中，但攻擊可能對其他產品造成重大影響 (範圍變更)。若攻擊成功，攻擊者即可在未經授權的情況下建立、刪除或修改關鍵資料或所有的 Oracle GraalVM for JDK 可存取資料，以及在未經授權的情況下存取關鍵資料或完全存取所有的 Oracle GraalVM for JDK 可存取資料。
    (CVE-2024-21892)

  - Oracle Java SE、Oracle GraalVM for JDK、Oracle Java SE 的 Oracle GraalVM 企業版產品中的弱點 (元件：Hotspot)。受影響的支援版本是 Oracle Java SE：8u401、8u401-perf、11.0.23、17.0.11、21.0.3、22；Oracle GraalVM for JDK：17.0.11、21.0.3、22；Oracle GraalVM Enterprise Edition：20.3.13 和 21.3.9。攻擊此弱點具有難度，能夠透過多個通訊協定存取網路的未經驗證的攻擊者可利用此弱點入侵 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM 企業版。若攻擊成功，攻擊者可在未經授權的情況下造成 Oracle Java SE、Oracle GraalVM for JDK、Oracle GraalVM Enterprise Edition 局部拒絕服務 (局部 DOS)。(CVE-2024-21011)


請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Node.js 版本早於 18.20.2、20.12.2 或 21.7.3。因此，它受到 2024 年 4 月 10 日星期三安全性版本公告中提及的命令插入弱點影響。這是不當處理 child_process.spawn / child_process.spawnSync 中的批次檔案所導致，即使未啟用 shell 選項，惡意命令行引數仍可插入任意命令並執行程式碼。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 WebCenter Portal 12.2.1.4.0 版本受到 2024 年 4 月 CPU 公告中提及的一個弱點影響。

  Oracle Fusion Middleware 的 Oracle WebCenter Portal 產品中存在弱點 (元件：Content integration)。受影響的支援版本是 12.2.1.4.0。攻擊此弱點的難度較大，經由 HTTP 存取網路的低權限攻擊者可以藉此入侵 Oracle WebCenter Portal。
    若要成功攻擊，必須有攻擊者以外之他人的互動。雖然此弱點位於 Oracle WebCenter Portal 中，但攻擊可能對其他產品造成重大影響 (範圍變更)。攻擊者若成功攻擊此弱點，即可在未經授權的情況下更新、插入或刪除某些 Oracle WebCenter Portal 可存取資料，以及在未經授權的情況下讀取部分 Oracle WebCenter Portal 可存取資料。(CVE-2024-20992)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle Application Testing Suite 版本受到 2024 年 4 月 CPU 公告中提及的多個弱點影響：

  - Oracle Enterprise Manager 的 Oracle Application Testing Suite 產品中存在弱點 (元件：Load Testing for Web Apps (BSAFE Crypto-J))。受影響的支援版本是 13.3.0.1。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle Application Testing Suite。若成功攻擊此弱點，則可接管 Oracle Application Testing Suite。(CVE-2022-34381)

  - Oracle Enterprise Manager 的 Oracle Application Testing Suite 產品中存在弱點 (元件：Load Testing for Web Apps (Apache Commons BCEL))。受影響的支援版本是 13.3.0.1。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle Application Testing Suite。成功攻擊此弱點可導致接管 Oracle Application Testing Suite。
    (CVE-2022-42920)

  - Oracle Enterprise Manager 的 Oracle Application Testing Suite 產品中存在弱點 (元件：Load Testing for Web Apps (Apache Derby))。受影響的支援版本是 13.3.0.1。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle Application Testing Suite。成功攻擊此弱點可導致接管 Oracle Application Testing Suite。
    (CVE-2022-46337)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle E-Business Suite 版本受到 2024 年 4 月 CPU 公告中提及的多個弱點影響。

  - Oracle E-Business Suite 的 Oracle Workflow 產品中存在弱點 (元件：Admin Screens 和 Grants UI)。受影響的支援版本是 12.2.3-12.2.13。攻擊此弱點的難度較小，經由 HTTP 存取網路的高權限攻擊者可以藉此入侵 Oracle Workflow。雖然弱點位於 Oracle Workflow 中，但攻擊可能對其他產品造成重大影響 (範圍變更)。
    若攻擊成功，可導致 Oracle Workflow 被接管。(CVE-2024-21071)

  - Oracle E-Business Suite 的 Oracle Production Scheduling 產品中存在弱點 (元件：Import Utility)。受影響的支援版本是 12.2.4-12.2.12。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證的攻擊者可藉以入侵 Oracle Production Scheduling。
    若成功攻擊此弱點，攻擊者可在未經授權的情況下，建立、刪除或修改重要資料或所有 Oracle Production Scheduling 可存取資料。(CVE-2024-21088)

  - Oracle E-Business Suite 的 Oracle Marketing 產品中存在弱點 (元件：Campaign LOV)。
    受影響的支援版本是 12.2.3-12.2.13。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Marketing。若攻擊成功，攻擊者未經授權即可存取重要資料，或完整存取所有 Oracle Marketing 可存取資料。(CVE-2024-21079)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Coherence 12.2.1.4.0 和 14.1.1.0.0 版本受到 2024 年 4 月 CPU 公告中提及的一個弱點影響：

  Oracle Fusion Middleware 的 Oracle Coherence 產品中存在弱點 (元件：Third Party (Apache Mina SSHD))。受影響的支援版本是 12.2.1.4.0 和 14.1.1.0.0。攻擊此弱點的難度較大，經由 SFTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Coherence。若攻擊成功，攻擊者可在未經授權的情況下，建立、刪除或修改重要資料或所有 Oracle Coherence 可存取資料。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle Business Intelligence Enterprise Edition 12.2.1.4 受到 2024 年 4 月 CPU 公告中提及的多個弱點影響，包括：

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 產品中的弱點 (元件：Analytics Web General (Apache Batik))。受影響的支援版本是 12.2.1.4.0。利用此弱點的難度較低，透過 HTTP 存取網路的未經驗證的攻擊者可以藉此入侵 Oracle Business Intelligence Enterprise Edition。若成功攻擊此弱點，攻擊者未經授權即可存取重要資料，或完整存取所有 Oracle Business Intelligence Enterprise Edition 可存取資料。(CVE-2022-42890)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 產品中的弱點 (元件：Analytics Server (jackson-databind))。受影響的支援版本是 7.0.0.0.0 和 12.2.1.4.0。攻擊此弱點的難度較大，低權限攻擊者可以登入 Oracle Business Intelligence Enterprise Edition 執行所在的基礎架構，進而入侵 Oracle Business Intelligence Enterprise Edition。若攻擊成功，攻擊者未經授權即可導致 Oracle Business Intelligence Enterprise Edition 懸置或經常重複性當機 (完全 DOS)。(CVE-2023-35116)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 產品中的弱點 (元件：Analytics Web Answers)。受影響的支援版本是 7.0.0.0.0 和 12.2.1.4.0。利用此弱點的難度較低，透過 HTTP 存取網路的低權限攻擊者可以藉此入侵 Oracle Business Intelligence 企業版。若要成功攻擊，必須要與除攻擊者以外的其他人進行人爲互動。雖然弱點位於 Oracle Business Intelligence Enterprise Edition 中，但攻擊可能對其他產品造成重大影響 (範圍改變)。若成功攻擊此弱點，攻擊者未經授權即可對部分 Oracle Business Intelligence Enterprise Edition 可存取資料執行更新、插入或刪除作業，並且可以未經授權讀取 Oracle Business Intelligence Enterprise Edition 可存取資料中的部分資料。(CVE-2024-21064)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	嚴重性
196901	Golang 1.22.x < 1.22.3 DoS	medium
195217	R 程式設計語言 1.4.0 < 4.4.0 不安全的還原序列化	high
195203	已安裝 Microsoft Azure Command-Line 介面 (CLI) (Linux)	info
195201	已安裝 F5 BIG-IP Next Central Manager (Linux)	info
195192	TensorFlow 偵測	info
194954	ZenML 偵測	info
194952	ArubaOS 8.10.x、8.11.x、10.4.x 10.5.x 多個弱點 (ARUBA-PSA-2024-004)	critical
194908	Mongo-Express < 0.54.0 RCE	critical
194907	Oracle Session Border Controller (2022 年 1 月 CPU)	high
194902	Atlassian Jira Service Management Data Center and Server < 5.4.19 / 5.11.x < 5.12.6 (JSDSERVER-15248)	high
194890	IBM MQ DoS (7123139)	high
194849	IBM MQ 9.0 <= 9.0.0.24/9.1 <= 9.1.0.21/9.2 <= 9.2.0.25/9.3 <= 9.3.0.17 (7149584)	medium
194848	IBM MQ 9.0 <= 9.0.0.24/9.1 <= 9.1.0.21/9.2 <= 9.2.0.25/9.3 <= 9.3.0.17/9.3 <= 9.3.5.1 (7149586)	high
194847	IBM MQ 9.3 <= 9.3.5.1 (7149581)	high
194747	Nessus Network Monitor < 6.4.0 多個弱點 (TNS-2024-07)	medium
194739	已安裝 Dell Repository Manager (Linux)	info
194721	NextChat < 2.11.3 SSRF	critical
194720	NextChat < 2.11.3 SSRF	critical
194620	Ivanti Avalanche 未經驗證的堆積型緩衝區溢位 (CVE-2024-29204)	critical
194503	Facade Ignition < 1.16.14 / 2.x < 2.4.2 / 2.5.x < 2.5.2 RCE	critical
194478	H2O Flow 偵測	info
194476	SAP BTP Python 程式庫 sap-xssec < 4.1.0 權限提升	critical
194433	Chef Manage 偵測	info
194431	Chef Infra Client 偵測	info
193968	IBM MQ 9.2 <= 9.2.0.25 / 9.3 < 9.3.5 CD / 9.3 <= 9.3.0.17 (7123135)	medium
193967	IBM MQ 9.2 <= 9.2.0.25 / 9.3 < 9.3.5 CD / 9.3 <= 9.3.0.17 DoS (7149583)	high
193966	IBM MQ 9.0 <= 9.0.0.24 / 9.1 <= 9.1.0.21 / 9.2 <= 9.2.0.25 / 9.3 < 9.3.5 CD / 9.3 <= 9.3.0.17 (7149582)	high
193912	aioHTTP < 3.9.4 XSS	medium
193911	Docker Engine 26.0.0 < 26.0.2 非預期的資源洩漏	medium
193884	已安裝 CrushFTP 伺服器 (Linux/Unix)	info
193876	已安裝 Libreswan (Linux/Unix)	info
193875	Libreswan 3.22 < 4.15/5.0rc1 < 5.0 DoS	high
193850	Azul Zulu Java 多個弱點 (2024 年 1 月 16 日)	high
193814	Azul Zulu Java 多個弱點 (2024 年 4 月 16 日)	critical
193693	Oracle Identity Manager (2024 年 4 月 CPU)	critical
193599	已安裝 FFmpeg (Linux / Unix)	info
193598	FFmpeg < 7.0 多個弱點	medium
193591	Oracle Access Manager (2024 年 4 月 CPU)	high
193582	Oracle MySQL Connectors Python (2024 年 4 月 CPU)	high
193581	Oracle MySQL Connectors C++ 和 ODBC (2024 年 4 月 CPU)	medium
193580	Node.js 18.x < 18.20.2 / 20.x < 20.12.2 / 21.x < 21.7.3 多個弱點 (2024 年 4 月 10 日星期三安全性版本)。	high
193574	Oracle Java (2024 年 4 月 CPU)	critical
193573	Node.js 18.x < 18.20.2 / 20.x < 20.12.2 / 21.x < 21.7.3 命令插入弱點 (2024 年 4 月 10 日星期三安全性版本)。	high
193572	Oracle WebCenter Portal (2024 年 4 月 CPU)	medium
193571	Oracle Application Testing Suite (2024 年 4 月 CPU)	critical
193570	Oracle E-Business Suite (2024 年 4 月 CPU)	critical
193562	Oracle Coherence (2024 年 4 月 CPU)	medium
193561	Ray Dashboard 作業 RCE (CVE-2023-48022)	critical
193560	Ray Dashboard 偵測	info
193559	Oracle Business Intelligence Enterprise Edition (2024 年 4 月 CPU)	high

偵測

Nessus 的 Misc. 系列

medium

high

info

info

info

info

critical

critical

high

high

high

medium

high

high

medium

info

critical

critical

critical

critical

info

critical

info

info

medium

high

high

medium

medium

info

info

high

high

critical

critical

info

medium

high

high

medium

high

critical

high

medium

critical

critical

medium

critical

info

high