遠端主機上安裝的 OpenSSL 為 3.0.4 之前版本。因此，會受到 3.0.4 公告中提及的一個弱點影響。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

SAP NetWeaver AS JAVA (Enterprise Portal) 7.10、7.20、7.30、7.31、7.40、7.50 會洩漏其中一個 HTTP 要求中的敏感資訊，攻擊者可利用此弱點搭配其他攻擊 (例如 XSS) 竊取此資訊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

當權限不足的使用者嘗試存取 SAP NetWeaver Administrator (系統管理員應用程式) 7.50 中的任何應用程式時，不會建立任何安全性稽核記錄。因此，安全性稽核記錄完整性會受到影響。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

依據「saprouttab」檔案中路由權限表的組態，未經驗證的攻擊者可從遠端用戶端，在 SAP NetWeaver 與 ABAP Platform 中執行 SAProuter 管理命令，例如停止 SAProuter，其可對系統可用性造成重大影響。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

部署了 Ajax Proxy Web 應用程式 (AjaxProxy.war) 的 IBM WebSphere Application Server 7.0、8.0、8.5 和 9.0 版容易受到偽造弱點攻擊，攔截式攻擊者可藉此偽造 SSL 伺服器主機名稱。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

在 SAP NetWeaver AS JAVA 7.1 至 7.5 中，通用工作清單組態允許遠端攻擊者透過特製的 HTTP 要求取得敏感的使用者資訊，即 SAP 安全性提示 2256846。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Apache httpd 版本早於 2.4.54。因此，會受到 2.4.54 公告中所提及的多個弱點影響。

  - mod_proxy_ajp 中可能存在要求走私弱點：Apache HTTP Server 的 mod_proxy_ajp 中存在對 HTTP 要求解釋不一致 (「HTTP 要求走私」) 弱點，攻擊者可藉此將要求走私到其轉送要求的 AJP 伺服器。此問題會影響 Apache HTTP Server 2.4、2.4.53 以及更舊版本。致謝：Ricter Z @ 360 Noah Lab (CVE-2022-26377)

  - mod_isapi: 中存在超出邊界讀取問題：Windows 主機上的 HTTP Server 2.4.53 和更舊版本存在超出邊界讀取問題，當設定為使用 mod_isapi 模組處理要求時，此弱點可能會造成超出邊界讀取。致謝：Apache HTTP Server 專案組感謝 Ronald Crane (Zippenhop LLC) 報告此問題 (CVE-2022-28330)

  - 透過 ap_rwrite() 執行超出邊界讀取：在 Apache HTTP Server 2.4.53 及更早版本中，若攻擊者能夠使用 ap_rwrite() 或 ap_rputs() (例如使用 mod_luas r:puts() 函式 ) 讓伺服器反映超大型輸入，則 ap_rwrite() 函式可能會讀取非預期的記憶體。致謝：Apache HTTP Server 專案組感謝 Ronald Crane (Zippenhop LLC) 報告此問題 (CVE-2022-28614)

  - ap_strcmp_match() 中存在超出邊界讀取弱點：在 Apache HTTP Server 2.4.53 和更舊版本中，當應用程式處理超大型輸入緩衝區時，ap_strcmp_match() 中的超出邊界讀取弱點可能會造成應用程式損毀或資訊洩漏。雖然無法將隨伺服器發布的程式碼強制轉換為此類呼叫，但使用 ap_strcmp_match() 的第三方模組或 lua 指令碼可能會受到影響。致謝：Apache HTTP Server 專案組感謝 Ronald Crane (Zippenhop LLC) 報告此問題 (CVE-2022-28615)

  - mod_lua r: parsebody 中使用未初始化的值：在 Apache HTTP Server 2.4.53 和更舊版本中，由於對可能的輸入大小沒有預設限制，惡意要求呼叫 parsebody(0) 的 lua 指令碼可能會造成應用程式拒絕服務。致謝：Apache HTTP Server 專案組感謝 Ronald Crane (Zippenhop LLC) 報告此問題 (CVE-2022-29404)

  - mod_sed 拒絕服務：如果將 Apache HTTP Server 2.4.53 設定為在 mod_sed 的輸入可能非常大的環境中使用 mod_sed 進行轉換，則 mod_sed 可能會進行超大記憶體配置並觸發中止。致謝：此問題由 JFrog 安全性研究團隊的 Brian Moussalli 發現 (CVE-2022-30522)

  - 使用 websockets 的 mod_lua 中存在資訊洩漏弱點：Apache HTTP Server 2.4.53 及更舊版本可能會向呼叫 r: wsread() 的應用程式傳回指向超出為緩衝區配置的儲存區結尾的長度。
    致謝：Apache HTTP Server 專案組感謝 Ronald Crane (Zippenhop LLC) 報告此問題 (CVE-2022-30556)

  - 在 mod_proxy 中，X-Forwarded-For 被逐跳機制丟棄。：Apache HTTP Server 2.4.53 及更早版本可能不會根據用戶端的 Connection 標頭逐跳機制將 X-Forwarded-* 標頭傳送至原始伺服器。攻擊者可利用此問題繞過原始伺服器/應用程式上的 IP 型驗證。
    致謝：Apache HTTP Server 專案組感謝 Gaetan Ferry (Synacktiv) 報告此問題 (CVE-2022-31813)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

根據其自我報告的版本，已安裝的 Nginx Plus 版本比 R24 P1 舊。因此，會受到遠端程式碼執行弱點影響。在 nginx 解析器中發現一個安全性問題，其可能允許未經驗證的遠端攻擊者使用特製的 DNS 回應造成 1 個位元組記憶體覆寫，進而導致背景工作處理程序損毀，或者攻擊者可能得以執行任意程式碼。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，已安裝的 Nginx Plus 版本是 R8 (基於 Open Source 1.9.9 版本建構) 至 R18-P1 (基於 Open Source 1.15.10 版本建構)。因此受到多個拒絕服務弱點影響：

  - 在 HTTP/2 通訊協定堆疊中存在拒絕服務弱點，這是未正確處理例外情形所致。未經驗證的遠端攻擊者可利用此弱點，透過操控大型資料要求的視窗大小和串流優先順序，造成拒絕服務情形。(CVE-2019-9511)

  - 在 HTTP/2 通訊協定堆疊中存在拒絕服務弱點，這是未正確處理例外情形所致。未經驗證的遠端攻擊者可利用此弱點，透過建立多個要求串流並不斷改變串流的優先順序，造成拒絕服務情形。(CVE-2019-9513)

  - 在 HTTP/2 通訊協定堆疊中存在拒絕服務弱點，這是未正確處理例外情形所致。未經驗證的遠端攻擊者可利用此弱點，透過傳送標頭名稱長度為零且標頭值長度為零的標頭串流，造成拒絕服務情形。(CVE-2019-9516)

根據其自我報告的版本，已安裝的 Nginx Plus 版本是 R1 (基於 Open Source 1.5.3-1 版本建構) 至 R15-P2 或 R16 (基於 Open Source 1.15.2 版本建構) 至 R16-P1。因此，該應用程式受到以下問題影響：

  - 存在與「ngx_http_v2_module」模組有關的不明錯誤，可導致記憶體過度使用。
    (CVE-2018-16843)

  - 存在與「ngx_http_v2_module」模組有關的不明錯誤，可導致 CPU 過度使用。
    (CVE-2018-16844)

  - 存在與「ngx_http_mp4_module」模組有關的不明錯誤，可導致工作者處理序損毀或記憶體洩漏。(CVE-2018-16845)

根據其自我報告的版本，已安裝的 Nginx Plus 版本早於 R13 (基於 Open Source 1.13.4 版本建構)。因此，該應用程式受到範圍篩選器中的整數溢位弱點影響。未經驗證的遠端攻擊者可利用此弱點，透過特別構建的要求洩漏潛在的敏感資訊。

SAP NetWeaver Application Server ABAP 中有一個程式碼注入弱點。內部使用的文字擷取報告允許攻擊者注入可由應用程式執行的程式碼。攻擊者可藉此控制應用程式的行為。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

SAP NetWeaver Application Server ABAP 中有一個程式碼注入弱點。此弱點可允許具有高權限且可直接存取 SAP 系統的攻擊者在使用特定交易類別構建器執行時注入程式碼。這可允許攻擊者在作業系統上執行任意命令，進而可能嚴重影響系統的機密性、完整性和可用性。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Apache httpd 版本早於 2.4.52。因此，它在處理多部分內容時，會受到與 mod_lua 相關的缺陷影響。特製的要求內文可造成 mod_lua multipart 剖析器 (從 Lua 指令碼呼叫的 r: parsebody() ) 中發生緩衝區溢位。Apache httpd 團隊尚未發現利用該弱點的情況，不過攻擊者可能會自行建構弱點。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

在設定 adminCenter-1.0 功能的情況下，IBM WebSphere Application Server Liberty 17.0.0.3 至 22.0.0.5 版本可允許經驗證的使用者發出要求，以取得應用程式伺服器可存取之 HTTP/HTTPS 連接埠的狀態。 

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

IBM WebSphere Application Server Liberty 17.0.0.3 至 22.0.0.5 版本和 Open Liberty 容易受到經驗證使用者偽造身分的影響。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

SAP NetWeaver Application Server ABAP 中可能存在多個弱點，包括：

  - SAP NetWeaver Application Server ABAP 中有一個 URL 重新導向弱點，這是由於未充分驗證 URL 所致。未經驗證的遠端攻擊者可利用此弱點，將使用者重新導向至惡意網站，並誘騙使用者洩漏個人資訊。(CVE-2022-28215)

  - SAP NetWeaver Application Server ABAP 中有一個跨網站指令碼弱點。經驗證的遠端攻擊者可利用此弱點，透過上傳惡意檔案並刪除主題資料，在使用者的瀏覽器工作階段中執行任意指令碼。(CVE-2022-29610)

  - SAP NetWeaver Application Server ABAP 中有一個權限提升弱點，這是由於遺漏授權檢查所致。經驗證的遠端攻擊者可利用此弱點，在沒有進行適當授權檢查的情況下，透過電子郵件從 SAP Business System 的「系統選單」傳送 ABAP 清單輸出的內容。(CVE-2022-29611)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

SAP NetWeaver AS ABAP 和 AS Java 核心 7.22、 7.49、 7.53、 7.77、 7.81、 7.85、7.86、7.87、7.88 或 8.04 版本中有一個記憶體損毀弱點，可允許未經驗證的攻擊者竊取使用者的驗證資訊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

SAP NetWeaver AS Java 7.22、 7.49、 7.53、 7.77、 7.81、 7.85、7.86、7.87 和 8.04 版本中有一個跨網站指令碼弱點，可允許未經驗證的攻擊者竊取使用者的驗證資訊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 8.5.76 舊。因此，Tomcat 會受到 fixed_in_apache_tomcat_8.5.76_security-8 公告中提及的一個弱點影響。

  - 在 Apache Tomcat 8.5.0 至 8.5.75 或 Apache Tomcat 9.0.0.M1 至 9.0.20 版本上，如果執行的 Web 應用程式在關閉 WebSocket 連線的同時傳送 WebSocket 訊息，則應用程式可能會在關閉後繼續使用該通訊端。在此情況下觸發的錯誤處理可造成共用物件被放置在集區中兩次。這就有可能導致後續連線同時使用同一個物件，進而導致錯誤使用傳回的資料和/或發生其他錯誤。(CVE-2022-25762)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 9.0.21 舊。因此，該軟體會受到 fixed_in_apache_tomcat_9.0.21_security-9 公告中提及的一個弱點影響。

  - 在 Apache Tomcat 8.5.0 至 8.5.75 或 Apache Tomcat 9.0.0.M1 至 9.0.20 版本上，如果執行的 Web 應用程式在關閉 WebSocket 連線的同時傳送 WebSocket 訊息，則應用程式可能會在關閉後繼續使用該通訊端。在此情況下觸發的錯誤處理可造成共用物件被放置在集區中兩次。這就有可能導致後續連線同時使用同一個物件，進而導致錯誤使用傳回的資料和/或發生其他錯誤。(CVE-2022-25762)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 9.0.63 舊。因此，其會受到 fixed_in_apache_tomcat_9.0.63_security-9 公告中提及的一個弱點影響。

  - 在 Apache Tomcat 10.1.0-M1 至 10.1.0-M14、10.0.0-M1 至 10.0.20、 9.0.13 至 9.0.62 和 8.5.38 至 8.5.78 版本中，EncryptInterceptor 的說明文件錯誤指出，它已啟用 Tomcat 叢集，以便在不受信任的網路上執行。此說明並不正確。雖然 EncryptInterceptor 確實提供機密性和完整性保護，但並未防範在任何不受信任的網路上執行時造成的所有相關風險，尤其是 DoS 風險。(CVE-2022-29885)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 10.0.21 舊。因此，其會受到 fixed_in_apache_tomcat_10.0.21_security-10 公告中提及的一個弱點影響。

  - 在 Apache Tomcat 10.1.0-M1 至 10.1.0-M14、10.0.0-M1 至 10.0.20、 9.0.13 至 9.0.62 和 8.5.38 至 8.5.78 版本中，EncryptInterceptor 的說明文件錯誤指出，它已啟用 Tomcat 叢集，以便在不受信任的網路上執行。此說明並不正確。雖然 EncryptInterceptor 確實提供機密性和完整性保護，但並未防範在任何不受信任的網路上執行時造成的所有相關風險，尤其是 DoS 風險。(CVE-2022-29885)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本早於 10.1.0.M15。因此，其會受到 fixed_in_apache_tomcat_10.1.0-m15_security-10 公告中提及的一個弱點影響。

  - 在 Apache Tomcat 10.1.0-M1 至 10.1.0-M14、10.0.0-M1 至 10.0.20、 9.0.13 至 9.0.62 和 8.5.38 至 8.5.78 版本中，EncryptInterceptor 的說明文件錯誤指出，它已啟用 Tomcat 叢集，以便在不受信任的網路上執行。此說明並不正確。雖然 EncryptInterceptor 確實提供機密性和完整性保護，但並未防範在任何不受信任的網路上執行時造成的所有相關風險，尤其是 DoS 風險。(CVE-2022-29885)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 8.5.79 舊。因此，其會受到 fixed_in_apache_tomcat_8.5.79_security-8 公告中提及的一個弱點影響。

  - 在 Apache Tomcat 10.1.0-M1 至 10.1.0-M14、10.0.0-M1 至 10.0.20、 9.0.13 至 9.0.62 和 8.5.38 至 8.5.78 版本中，EncryptInterceptor 的說明文件錯誤指出，它已啟用 Tomcat 叢集，以便在不受信任的網路上執行。此說明並不正確。雖然 EncryptInterceptor 確實提供機密性和完整性保護，但並未防範在任何不受信任的網路上執行時造成的所有相關風險，尤其是 DoS 風險。(CVE-2022-29885)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 為 1.0.2ze 之前的版本。因此，會受到 1.0.2ze 公告中所提及的一個弱點影響。

  - c_rehash 指令碼未正確清理殼層中繼字元以防止命令插入。某些作業系統會以自動執行的方式發佈此指令碼。在這類作業系統上，攻擊者可以透過指令碼的權限執行任意命令。c_rehash 指令碼的使用已過時，應由 OpenSSL rehash 命令行工具取代。
    已在 OpenSSL 3.0.3 中修正 (受影響的是 3.0.0、3.0.1、3.0.2)。已在 OpenSSL 1.1.1o 中修正 (受影響的是 1.1.1-1.1.1n)。
    已在 OpenSSL 1.0.2ze 中修正 (受影響的是 1.0.2-1.0.2zd)。(CVE-2022-1292)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 版本為 1.1.1o 之前的版本。因此，會受到 1.1.1o 公告中所提及的一個弱點影響。

  - c_rehash 指令碼未正確清理殼層中繼字元以防止命令插入。某些作業系統會以自動執行的方式發佈此指令碼。在這類作業系統上，攻擊者可以透過指令碼的權限執行任意命令。c_rehash 指令碼的使用已過時，應由 OpenSSL rehash 命令行工具取代。
    已在 OpenSSL 3.0.3 中修正 (受影響的是 3.0.0、3.0.1、3.0.2)。已在 OpenSSL 1.1.1o 中修正 (受影響的是 1.1.1-1.1.1n)。
    已在 OpenSSL 1.0.2ze 中修正 (受影響的是 1.0.2-1.0.2zd)。(CVE-2022-1292)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 為 3.0.3 之前版本。因此，會受到 3.0.3 公告中所提及的多個弱點影響。

  - OPENSSL_LH_flush() 函式可清空雜湊表，其中包含一個錯誤，會中斷已移除雜湊表項目佔用的記憶體重複使用。解碼憑證或金鑰時會使用此函式。如果長效處理程序定期解碼憑證或金鑰，其記憶體使用量將會無限擴充，處理程序可能會被作業系統終止，進而造成拒絕服務。
    此外，遊走空雜湊表項目將會越來越耗時間。通常這類長效處理程序可能是設為接受用戶端憑證驗證的 TLS 用戶端或 TLS 伺服器。函式已在 OpenSSL 3.0 版中新增，因此舊版不受此問題影響。已在 OpenSSL 3.0.3 中修正 (受影響的是 3.0.0、3.0.1、3.0.2)。(CVE-2022-1473)

  - RC4-MD5 加密套件的 OpenSSL 3.0 實作未正確使用 AAD 資料作為 MAC 金鑰。
    這會使 MAC 金鑰可輕易預測。攻擊者可惡意利用此問題，執行攔截式攻擊來修改從一個端點傳送至 OpenSSL 3.0 收件者的資料，使得修改後的資料仍可通過 MAC 完整性檢查。請注意，從 OpenSSL 3.0 端點傳送至非 OpenSSL 3.0 端點的資料將一律遭到接收者拒絕，此時連線將會失敗。許多應用程式通訊協定要求需先將資料從用戶端傳送至伺服器。
    因此，在這種情況下，與非 OpenSSL 3.0 用戶端交談時，只會影響 OpenSSL 3.0 伺服器。如果兩個端點都是 OpenSSL 3.0 ，則攻擊者可修改雙向傳送的資料。在此情況下，無論應用程式通訊協定為何，用戶端和伺服器都會受到影響。請注意，在沒有攻擊者的情況下，此錯誤表示使用此加密套件時，與非 OpenSSL 3.0 端點通訊的 OpenSSL 3.0 端點將無法完成交握。資料的機密性不受此問題影響，即攻擊者無法解密已使用此加密套件加密的資料，他們只能進行修改。為使此攻擊有效，兩個端點都必須以合法方式交涉 RC4-MD5 加密套件。此加密套件並非預設在 OpenSSL 3.0 中編譯，且在預設提供者或預設加密套件清單中不可用。如果已交涉 TLSv1.3，則永遠不會使用此加密套件。為了讓 OpenSSL 3.0 端點使用此加密套件，必須發生下列情況：1) OpenSSL 必須已使用 (非預設) 編譯時選項 enable-weak-ssl-ciphers 2) OpenSSL 必須已明確載入舊版提供者 (透過應用程式程式碼或透過組態) 3) 加密套件必須已明確新增至加密套件清單 4) 必須將 libssl 安全性等級設為 0 (預設為 1) 5) 必須交涉低於 TLSv1.3 的 SSL/TLS 版本 6) 兩個端點都必須交涉 RC4-MD5 加密套件，而不是兩個端點共有的任何其他項目。已在 OpenSSL 中修正 3.0.3 (受影響的是 3.0.0、3.0.1、3.0.2)。(CVE-2022-1434)

  -「OCSP_basic_verify」函式驗證 OCSP 回應上的簽署者憑證。在使用 (非預設) 旗標 OCSP_NOCHECKS 的情況下，即使回應簽署憑證無法驗證，也會是正向回應 (表示驗證成功)。預期「OCSP_basic_verify」的大多數使用者將不會使用 OCSP_NOCHECKS 旗標。在此情況下，「OCSP_basic_verify」函式會在憑證驗證失敗的情況下傳回負值 (表示嚴重錯誤)。在此情況下，正常的預期傳回值為 0。此問題也會影響命令行 OpenSSL ocsp 應用程式。使用 -no_cert_checks 選項驗證 ocsp 回應時，
    即使實際上驗證失敗，命令行應用程式仍會報告驗證成功。在這種情況下，不正確的成功回應也會伴隨錯誤訊息，顯示失敗並與明顯成功的結果矛盾。已在 OpenSSL 3.0.3 中修正 (受影響的是 3.0.0、3.0.1、3.0.2)。(CVE-2022-1343)

  - c_rehash 指令碼未正確清理殼層中繼字元以防止命令插入。某些作業系統會以自動執行的方式發佈此指令碼。在這類作業系統上，攻擊者可以透過指令碼的權限執行任意命令。c_rehash 指令碼的使用已過時，應由 OpenSSL rehash 命令行工具取代。
    已在 OpenSSL 3.0.3 中修正 (受影響的是 3.0.0、3.0.1、3.0.2)。已在 OpenSSL 1.1.1o 中修正 (受影響的是 1.1.1-1.1.1n)。
    已在 OpenSSL 1.0.2ze 中修正 (受影響的是 1.0.2-1.0.2zd)。(CVE-2022-1292)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

在遠端主機上偵測到雲端原生 API 閘道的管理介面 Apache APISIX Dashboard。

遠端主機上安裝的 Oracle HTTP Server 版本受到 2022 年 4 月 CPU 公告中提及的多個弱點影響。

  - Oracle Fusion Middleware 的 Oracle HTTP Server 產品 (元件：Web 監聽器 (Apache HTTP Server))。受影響的支援版本是 12.2.1.3.0 和 12.2.1.4.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle HTTP Server。成功攻擊此弱點可導致接管 Oracle HTTP Server。
    CVSS 3.1 Base Score 9.8 (機密性、完整性和可用性影響)。(CVE-2021-39275)

  - Oracle Fusion Middleware 的 Oracle HTTP Server 產品 (元件：SSL 模組 (cURL))。受影響的支援版本是 12.2.1.3.0 和 12.2.1.4.0。難以利用的弱點允許具有網路存取權的未經驗證攻擊者透過 HTTPS 入侵 Oracle HTTP Server。成功攻擊此弱點可導致接管 Oracle HTTP Server。CVSS 3.1 Base Score 8.1 (機密性、完整性和可用性影響)。CVSS 向量：
    (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)。(CVE-2021-22901)

  - Oracle Fusion Middleware 的 Oracle HTTP Server 產品 (元件：SSL 模組 (Apache HTTP Server))。受影響的支援版本是 12.2.1.3.0 和 12.2.1.4.0。攻擊此弱點的難度較小，經由 HTTPS 存取網路的未經驗證攻擊者可藉此入侵 Oracle HTTP Server。若成功攻擊此弱點，未經授權即可更新、插入或刪除部分可存取的 Oracle HTTP Server 資料，並且未經授權即可造成 Oracle HTTP Server 局部拒絕服務 (局部 DOS)。CVSS 3.1 Base Score 6.5 (完整性和可用性影響)。
    CVSS 向量：(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L)。(CVE-2021-44224)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端 Web 伺服器包含至少一個具有「cc-number」或類似類型輸入項的 HTML 表單欄位。

雖然這並不代表此 Web 伺服器本身有風險，但這確實表示該網站可能會接受付款資訊。

遠端主機上安裝的 Apache Tomcat 版本是比 9.0.62 舊的 9.x。

這個版本的 Apache Tomcat 沒有針對 Spring4Shell (CVE-2022-22965) 的緩解措施。雖然這並不代表 Apache Tomcat 本身存在弱點，但仍建議將 Apache Tomcat 更新至具有 Spring4Shell 緩解措施的版本。

請注意，Nessus 並未測試這些緩解措施，而是僅依據應用程式自我報告的版本號碼進行判斷。)；
  # https://spring.io/blog/2022/04/01/spring-framework-rce-mitigation-alternativescript_set_attribute(屬性：see_also，值：http://www.nessus.org/u?2401ae46

遠端主機上安裝的 Apache Tomcat 版本是比 10.0.20 舊的 10.x。

這個版本的 Apache Tomcat 沒有針對 Spring4Shell (CVE-2022-22965) 的緩解措施。雖然這並不代表 Apache Tomcat 本身存在弱點，但仍建議將 Apache Tomcat 更新至具有 Spring4Shell 緩解措施的版本。

請注意，Nessus 並未測試這些緩解措施，而是僅依據應用程式自我報告的版本號碼進行判斷。)；
  # https://spring.io/blog/2022/04/01/spring-framework-rce-mitigation-alternativescript_set_attribute(屬性：see_also，值：http://www.nessus.org/u?2401ae46

遠端主機上安裝的 Apache Tomcat 版本是比 8.5.78 舊的 8.x。

這個版本的 Apache Tomcat 沒有針對 Spring4Shell (CVE-2022-22965) 的緩解措施。雖然這並不代表 Apache Tomcat 本身存在弱點，但仍建議將 Apache Tomcat 更新至具有 Spring4Shell 緩解措施的版本。

請注意，Nessus 並未測試這些緩解措施，而是僅依據應用程式自我報告的版本號碼進行判斷。)；
  # https://spring.io/blog/2022/04/01/spring-framework-rce-mitigation-alternativescript_set_attribute(屬性：see_also，值：http://www.nessus.org/u?2401ae46

遠端主機上安裝的 OpenSSL 為 3.0.2 之前版本。因此，會受到 3.0.2 公告中提及的一個弱點影響。

  - BN_mod_sqrt() 函式專用於計算模組化平方根，其中包含一個可導致其針對非質數模數永遠執行迴圈的錯誤。在內部剖析包含壓縮形式的橢圓曲線公開金鑰或具有以壓縮形式編碼之基點的顯式橢圓曲線參數時，會使用此函式。透過建構具有無效顯式曲線參數的憑證，可能會觸發無限迴圈。由於憑證剖析發生在驗證憑證簽章之前，因此任何剖析外部提供之憑證的處理程序都可能遭受拒絕服務攻擊。也可以在剖析建構的私密金鑰時造成無限迴圈，因為這些金鑰中可能包含顯式橢圓曲線參數。因此，易受攻擊的情況包括：- 使用伺服器憑證的 TLS 伺服器 - 使用用戶端憑證的 TLS 伺服器 - 從客戶處取得憑證或私密金鑰的主機供應商 - 剖析來自使用者憑證要求的認證機構 - 剖析 ASN.1 橢圓曲線參數的任何其他應用程式，以及使用 BN_mod_sqrt() 的任何其他應用程式 (其中攻擊者可控制容易受到此 DoS 問題影響的參數值)。在 OpenSSL 1.0.2 版本中，最初剖析憑證期間並未剖析公開金鑰，進而導致觸發無限迴圈變得略微困難。不過，任何需要憑證公開金鑰的作業都會觸發無限迴圈。特別是，攻擊者可在驗證憑證簽章期間使用自我簽署憑證觸發迴圈。OpenSSL 1.0.2、 1.1.1 和 3.0 會受到此問題影響。此問題已在 2022 年 3 月 15 日發布的 1.1.1n 和 3.0.2 版本中得到解決。已在 OpenSSL 3.0.2 中修正 (受影響的是 3.0.0、3.0.1)。已在 OpenSSL 1.1.1n 中修正 (受影響的是 1.1.1-1.1.1m)。已在 OpenSSL 1.0.2zd 中修正 (受影響的是 1.0.2-1.0.2zc)。(CVE-2022-0778)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 版本為 1.1.1n 之前版本。因此，其會受到 1.1.1n 公告中提及的一個弱點影響。

  - BN_mod_sqrt() 函式專用於計算模組化平方根，其中包含一個可導致其針對非質數模數永遠執行迴圈的錯誤。在內部剖析包含壓縮形式的橢圓曲線公開金鑰或具有以壓縮形式編碼之基點的顯式橢圓曲線參數時，會使用此函式。透過建構具有無效顯式曲線參數的憑證，可能會觸發無限迴圈。由於憑證剖析發生在驗證憑證簽章之前，因此任何剖析外部提供之憑證的處理程序都可能遭受拒絕服務攻擊。也可以在剖析建構的私密金鑰時造成無限迴圈，因為這些金鑰中可能包含顯式橢圓曲線參數。因此，易受攻擊的情況包括：- 使用伺服器憑證的 TLS 伺服器 - 使用用戶端憑證的 TLS 伺服器 - 從客戶處取得憑證或私密金鑰的主機供應商 - 剖析來自使用者憑證要求的認證機構 - 剖析 ASN.1 橢圓曲線參數的任何其他應用程式，以及使用 BN_mod_sqrt() 的任何其他應用程式 (其中攻擊者可控制容易受到此 DoS 問題影響的參數值)。在 OpenSSL 1.0.2 版本中，最初剖析憑證期間並未剖析公開金鑰，進而導致觸發無限迴圈變得略微困難。不過，任何需要憑證公開金鑰的作業都會觸發無限迴圈。特別是，攻擊者可在驗證憑證簽章期間使用自我簽署憑證觸發迴圈。OpenSSL 1.0.2、 1.1.1 和 3.0 會受到此問題影響。此問題已在 2022 年 3 月 15 日發布的 1.1.1n 和 3.0.2 版本中得到解決。已在 OpenSSL 3.0.2 中修正 (受影響的是 3.0.0、3.0.1)。已在 OpenSSL 1.1.1n 中修正 (受影響的是 1.1.1-1.1.1m)。已在 OpenSSL 1.0.2zd 中修正 (受影響的是 1.0.2-1.0.2zc)。(CVE-2022-0778)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 為 1.0.2zd 之前版本。因此，其會受到 1.0.2zd 公告中提及的一個弱點影響。

  - BN_mod_sqrt() 函式專用於計算模組化平方根，其中包含一個可導致其針對非質數模數永遠執行迴圈的錯誤。在內部剖析包含壓縮形式的橢圓曲線公開金鑰或具有以壓縮形式編碼之基點的顯式橢圓曲線參數時，會使用此函式。透過建構具有無效顯式曲線參數的憑證，可能會觸發無限迴圈。由於憑證剖析發生在驗證憑證簽章之前，因此任何剖析外部提供之憑證的處理程序都可能遭受拒絕服務攻擊。也可以在剖析建構的私密金鑰時造成無限迴圈，因為這些金鑰中可能包含顯式橢圓曲線參數。因此，易受攻擊的情況包括：- 使用伺服器憑證的 TLS 伺服器 - 使用用戶端憑證的 TLS 伺服器 - 從客戶處取得憑證或私密金鑰的主機供應商 - 剖析來自使用者憑證要求的認證機構 - 剖析 ASN.1 橢圓曲線參數的任何其他應用程式，以及使用 BN_mod_sqrt() 的任何其他應用程式 (其中攻擊者可控制容易受到此 DoS 問題影響的參數值)。在 OpenSSL 1.0.2 版本中，最初剖析憑證期間並未剖析公開金鑰，進而導致觸發無限迴圈變得略微困難。不過，任何需要憑證公開金鑰的作業都會觸發無限迴圈。特別是，攻擊者可在驗證憑證簽章期間使用自我簽署憑證觸發迴圈。OpenSSL 1.0.2、 1.1.1 和 3.0 會受到此問題影響。此問題已在 2022 年 3 月 15 日發布的 1.1.1n 和 3.0.2 版本中得到解決。已在 OpenSSL 3.0.2 中修正 (受影響的是 3.0.0、3.0.1)。已在 OpenSSL 1.1.1n 中修正 (受影響的是 1.1.1-1.1.1m)。已在 OpenSSL 1.0.2zd 中修正 (受影響的是 1.0.2-1.0.2zc)。(CVE-2022-0778)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Apache httpd 版本早於 2.4.53。因此，會受到 2.4.53 公告中所提及的多個弱點影響。

  - mod_lua 在 r: parsebody 中使用未初始化的值：- 攻擊者可利用特製的要求內文造成應用程式讀取隨機記憶體區域，進而造成處理程序損毀。此問題會影響 Apache HTTP Server 2.4.52 及更早版本。致謝：Chamal De Silva (CVE-2022-22719)

  - HTTP 要求走私：- Apache HTTP Server 2.4.52 和更舊版本在捨棄要求內文時遇到錯誤，因而無法關閉傳入連線，進而導致伺服器受到 HTTP 要求走私漏洞影響 致謝：James Kettle <james.kettle portswigger.net> (CVE-2022-22720)

  - 核心中存在非常大或無限制的 LimitXMLRequestBody，可能造成緩衝區溢位：- 如果在 32 位元系統上將 LimitXMLRequestBody 設定為允許處理大於 350MB (預設為 1M) 的要求內文，則會造成整數溢位，進而導致超出邊界寫入。此問題會影響 Apache HTTP Server 2.4.52 及更早版本。致謝：匿名使用 Trend Micro 漏洞懸賞計畫 (CVE-2022-22721)

  - mod_sed 中存在超出邊界讀取/寫入問題：Apache HTTP Server 的 mod_sed 中存在超出邊界寫入弱點，允許攻擊者使用可能由攻擊者提供的資料覆寫堆積記憶體。此問題會影響 Apache HTTP Server 2.4 2.4.52 及更舊版本。致謝：Ronald Crane (Zippenhop LLC) (CVE-2022-23943)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 IBM WebSphere Application Server Liberty 版本為早於 22.0.0.3 的 17.0.0.3 版。因此，其會受到一個點擊劫持弱點影響。遠端攻擊者可透過誘騙受害者造訪惡意網站來惡意利用此弱點，進而劫持受害者的點擊動作，並可能對受害者發動進一步攻擊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 IBM WebSphere Application Server 版本為早於 9.0.5.12 的 9.x 版。因此，其會受到一個點擊劫持弱點影響。遠端攻擊者可透過誘騙受害者造訪惡意網站來惡意利用此弱點，進而劫持受害者的點擊動作，並可能對受害者發動進一步攻擊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

未經驗證的遠端攻擊者可透過要求 URL '/solr'，取得遠端 Apache Solr Web 伺服器組態的概覽。此概覽包括系統組態和可用的資料來源。
當中也可能包含在節點中設定的任何核心的內容。

SAP NetWeaver Application Server ABAP 中可能存在多個弱點，包括：

  - SAP Netweaver AS - 700、701、702、710、711、730、740、750、751、752、753、754、755、756 版本中有一個跨網站指令碼弱點，可能允許未經驗證的攻擊者透過注入程式碼洩露敏感資料。(CVE-2022-22534)

  - SAP NetWeaver AS ABAP (Workplace Server) 700、701、702、731、740 750、751、752、753、754、755、756、787 版本中含有一個 SQL 注入弱點，可能允許攻擊者透過執行建構的資料庫查詢洩露後端資料庫。(CVE-2022-22540)

  - SAP NetWeaver AS ABAP 700、701、702、710、711、730、731、740、750、751、752、753、754、755、756 版本中含有一個資訊洩漏弱點，允許經驗證的攻擊者讀取存儲在 http 呼叫目標中的連結詳細資料。(CVE-2022-22545) 

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 IBM WebSphere Application Server 版本是 21.0.0.10 版至 21.0.0.12 版。因此，該應用程式受到資訊洩漏弱點影響。攻擊者可利用此缺陷來取得敏感資訊，並有可能在未經授權的情況下存取 JAX-WS 應用程式。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

SAP NetWeaver Application Server ABAP、SAP NetWeaver Application Server Java、ABAP Platform、SAP Content Server 7.53 和 SAP Web Dispatcher 皆容易受到要求走私和要求串連影響。

未經驗證的攻擊者可在受害者的要求前加上任意資料。這樣一來，攻擊者即可執行模擬受害者的函式，或破壞中繼 Web 快取。若攻擊成功，可導致系統機密性、完整性和可用性完全遭到破壞。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

SAP NetWeaver Application Server Java 容易受到 HTTP 要求走私弱點的影響。

  - 未經驗證的攻擊者可提交會觸發不當處理共用記憶體緩衝區的特製 HTTP 伺服器要求。這可能允許攻擊者執行惡意承載，進而執行可模擬受害者或甚至竊取受害者登入工作階段的函式。(CVE-2022-22532)

  - 由於錯誤處理不當，攻擊者可提交多個導致發生錯誤的 HTTP 伺服器要求，進而消耗記憶體緩衝區。這可能導致系統關機而使系統無法使用。
    (CVE-2022-22533)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

遠端主機上安裝的 OpenSSL 版本比 1.0.2zc-dev 舊。因此，其會受到 1.0.2zc-dev 公告中提及的一個弱點影響。

  - MIPS32 和 MIPS64 平方程序中有一個進位傳送錯誤。許多 EC 演算法都受到影響，包括某些 TLS 1.3 預設曲線。未詳細分析影響的原因在於，無法滿足攻擊的各項先決條件，而且涉及到重複使用私密金鑰。分析資料指出，因此缺陷而對 RSA 與 DSA 所發動的攻擊極難執行，而且可能性不高。對 DH 發動攻擊是可行的 (但難度極高)，因為推算私密金鑰相關資訊所需的多數工作可以於離線執行。此類攻擊所需的資源量極大。但是，若要成功在 TLS 上發起攻擊，伺服器必須在多個用戶端之間共用 DH 私密金鑰 (自 CVE-2016-0701 版本以來，已不提供此選項)。OpenSSL 1.0.2、 1.1.1 和 3.0.0 會受到此問題影響。此問題已在 2021 年 12 月 15 日發布的 1.1.1m 和 3.0.1 版中解決。針對 1.0.2 版本，此問題已在僅提供給高級支援客戶的 git commit 6fc1aaaf3 中解決。發布 1.0.2zc 版本時，將提供 git commit 6fc1aaaf3。此問題僅影響 MIPS 平台上的 OpenSSL。已在 OpenSSL 3.0.1 中修正 (受影響的是 3.0.0)。已在 OpenSSL 1.1.1m 中修正 (受影響的是 1.1.1-1.1.1l)。已在 OpenSSL 1.0.2zc-dev 中修正 (受影響的是 1.0.2-1.0.2zb)。(CVE-2021-4160)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 OpenSSL 版本比 1.1.1m 舊。因此，其會受到 1.1.1m 公告中提及的一個弱點影響。

  - MIPS32 和 MIPS64 平方程序中有一個進位傳送錯誤。許多 EC 演算法都受到影響，包括某些 TLS 1.3 預設曲線。未詳細分析影響的原因在於，無法滿足攻擊的各項先決條件，而且涉及到重複使用私密金鑰。分析資料指出，因此缺陷而對 RSA 與 DSA 所發動的攻擊極難執行，而且可能性不高。對 DH 發動攻擊是可行的 (但難度極高)，因為推算私密金鑰相關資訊所需的多數工作可以於離線執行。此類攻擊所需的資源量極大。但是，若要成功在 TLS 上發起攻擊，伺服器必須在多個用戶端之間共用 DH 私密金鑰 (自 CVE-2016-0701 版本以來，已不提供此選項)。OpenSSL 1.0.2、 1.1.1 和 3.0.0 會受到此問題影響。It was addressed in the releases of 1.1.1m and 3.0.1 on the 15th of December 2021. For the 1.0.2 release it is addressed in git commit 6fc1aaaf3 that is available to premium support customers only. 發布 1.0.2zc 版本時，將提供 git commit 6fc1aaaf3。此問題僅影響 MIPS 平台上的 OpenSSL。已在 OpenSSL 1.1.1m 中修正 (受影響的是 1.1.1-1.1.1l)。(CVE-2021-4160)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本比 10.0.16 舊。因此，其會受到 fixed_in_apache_tomcat_10.0.16_security-10 公告中提及的一個弱點影響。

  - 針對錯誤 CVE-2020-9484 的修正在 Apache Tomcat 10.1.0-M1 至 10.1.0-M8、10.0.0-M5 至 10.0.14、 9.0.35 至 9.0.56 和 8.5.55 至 8.5.73 版本中引入了檢查時間、使用時間弱點，進而允許本機攻擊者以 Tomcat 處理程序所使用之使用者的權限執行動作。只有在 Tomcat 設為使用 FileStore 持續工作階段時，此問題才會遭到惡意利用。(CVE-2022-23181)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Tomcat 版本早於 10.1.0.M10。因此，其會受到 fixed_in_apache_tomcat_10.1.0-m10_security-10 公告中提及的一個弱點影響。

  - 針對錯誤 CVE-2020-9484 的修正在 Apache Tomcat 10.1.0-M1 至 10.1.0-M8、10.0.0-M5 至 10.0.14、 9.0.35 至 9.0.56 和 8.5.55 至 8.5.73 版本中引入了檢查時間、使用時間弱點，進而允許本機攻擊者以 Tomcat 處理程序所使用之使用者的權限執行動作。只有在 Tomcat 設為使用 FileStore 持續工作階段時，此問題才會遭到惡意利用。(CVE-2022-23181)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	嚴重性
162418	OpenSSL 3.0.0 < 3.0.4 弱點	critical
162414	SAP NetWeaver AS Java 資訊洩漏弱點 (Enterprise Portal) (3059764)	medium
162413	SAP NetWeaver AS Java 記錄不足	medium
162396	SAP NetWeaver ABAP 不當存取控制 (3158375)	critical
162321	IBM WebSphere Application Server 偽造弱點 (6587947)	medium
162316	SAP NetWeaver AS Java 資訊洩漏弱點 (2256846)	medium
161948	Apache 2.4.x < 2.4.54 多個弱點	critical
161698	Nginx Plus < R24 P1 1 位元組記憶體覆寫 RCE	high
161697	nginx R8 < R18-P1 多個弱點	high
161696	Nginx Plus R1 < R15-P2 / R16 < R16-P1 多個弱點	medium
161695	Nginx Plus > R13 資料洩漏弱點	high
161665	SAP NetWeaver AS ABAP 與程式碼注入弱點 (3119365)	critical
161664	SAP NetWeaver AS ABAP 與程式碼注入弱點 (3123196)	medium
161454	Apache 2.4.x < 2.4.52 mod_lua 緩衝區溢位弱點	critical
161371	IBM WebSphere Application Server Liberty 17.0.0.3 < 22.0.0.5 資訊洩漏弱點 (6585704)	medium
161370	IBM WebSphere Application Server Liberty 17.0.0.3 < 22.0.0.5 身分偽造弱點 (6586734)	medium
161186	SAP NetWeaver AS ABAP 多個弱點 (2022 年 1 月)	high
161185	SAP NetWeaver AS ABAP 和 AS Java 記憶體損毀弱點 (3145702)	high
161184	SAP NetWeaver AS Java XSS (3145046)	medium
161181	Apache Tomcat 8.5.0 < 8.5.76 弱點	high
161159	Apache Tomcat 9.0.0.M1 < 9.0.21 弱點	high
160894	Apache Tomcat 9.0.13 < 9.0.63 弱點	high
160893	Apache Tomcat 10.0.0.M1 < 10.0.21 弱點	high
160892	Apache Tomcat 10.1.0.M1 < 10.1.0.M15 弱點	high
160891	Apache Tomcat 8.5.38 < 8.5.79 弱點	high
160480	OpenSSL 1.0.2 < 1.0.2ze 弱點	critical
160477	OpenSSL 1.1.1 < 1.1.1o 弱點	critical
160473	OpenSSL 3.0.0 < 3.0.3 多個弱點	critical
160298	Apache APISIX Dashboard 偵測	info
159947	Oracle HTTP Server (2022 年 4 月 CPU)	critical
159550	網站接受透過純文字 HTTP 傳輸的信用卡資料	medium
159549	網站接受信用卡資料	info
159464	Apache Tomcat 9.0.0.M1 < 9.0.62 Spring4Shell (CVE-2022-22965) 緩解措施	low
159463	Apache Tomcat 10.0.0.M1 < 10.0.20 Spring4Shell (CVE-2022-22965) 緩解措施	low
159462	Apache Tomcat 8.x < 8.5.78 Spring4Shell (CVE-2022-22965) 緩解措施	low
158975	OpenSSL 3.0.0 < 3.0.2 弱點	high
158974	OpenSSL 1.1.1 < 1.1.1n 弱點	high
158973	OpenSSL 1.0.2 < 1.0.2zd 弱點	high
158900	Apache 2.4.x < 2.4.53 多個弱點	critical
158562	IBM WebSphere Application Server Liberty 17.0.0.3 < 22.0.0.3 點擊劫持 (6559044)	medium
158561	IBM WebSphere Application Server 9.x < 9.0.5.12 點擊劫持	medium
158094	Apache Solr 未經驗證的存取資訊洩漏	medium
158042	SAP NetWeaver AS ABAP 多個弱點 (2022 年 2 月)	high
157866	IBM WebSphere Application Server Liberty 21.0.0.10 <= 21.0.0.12 資訊洩露 (6541530)	medium
157848	SAP NetWeaver AS 去同步弱點 (ICMAD)	critical
157847	SAP NetWeaver AS Java 多個弱點 (ICMAD)	critical
157231	OpenSSL 1.0.2 < 1.0.2zc-dev 弱點	medium
157228	OpenSSL 1.1.1 < 1.1.1m 弱點	medium
157124	Apache Tomcat 10.0.0.M5 < 10.0.16 多個弱點	high
157120	Apache Tomcat 10.1.0.M1 < 10.1.0.M10 多個弱點	high

Nessus 的 Web Servers 系列

critical

medium

medium

critical

medium

medium

critical

high

high

medium

high

critical

medium

critical

medium

medium

high

high

medium

high

high

high

high

high

high

critical

critical

critical

info

critical

medium

info

low

low

low

high

high

high

critical

medium

medium

medium

high

medium

critical

critical

medium

medium

high

high