遠端主機上執行的 Atlassian Jira Service Management Data Center and Server (Jira Service Desk) 版本受到 JSDSERVER-14750 公告中提及的一個弱點影響。

  - 在 jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版和 2.13.1 之前的 2.13.x 版中，攻擊者可以在涉及 JsonNode JDK 序列化的罕見情況下，造成拒絕服務 (每次讀取 2 GB 暫時性堆積使用量)。(CVE-2021-46877)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的套件受到 RHSA-2023: 4919 公告中提及的多個弱點影響。

  - 在 jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版和 2.13.1 之前的 2.13.x 版中，攻擊者可以在涉及 JsonNode JDK 序列化的罕見情況下，造成拒絕服務 (每次讀取 2 GB 暫時性堆積使用量)。(CVE-2021-46877)

  - 從其中一個元素中包含自我參照的 Collection 建構 JSONArray 時，會在 Jettison 中觸發無限遞回。這會導致系統發出 StackOverflowError 例外狀況。(CVE-2023-1436)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2023: 4918 公告中提及的多個弱點影響。

  - 在 jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版和 2.13.1 之前的 2.13.x 版中，攻擊者可以在涉及 JsonNode JDK 序列化的罕見情況下，造成拒絕服務 (每次讀取 2 GB 暫時性堆積使用量)。(CVE-2021-46877)

  - 從其中一個元素中包含自我參照的 Collection 建構 JSONArray 時，會在 Jettison 中觸發無限遞回。這會導致系統發出 StackOverflowError 例外狀況。(CVE-2023-1436)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2023: 4505 公告中提及的多個弱點影響。

  - 在 jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版和 2.13.1 之前的 2.13.x 版中，攻擊者可以在涉及 JsonNode JDK 序列化的罕見情況下，造成拒絕服務 (每次讀取 2 GB 暫時性堆積使用量)。(CVE-2021-46877)

  - 從其中一個元素中包含自我參照的 Collection 建構 JSONArray 時，會在 Jettison 中觸發無限遞回。這會導致系統發出 StackOverflowError 例外狀況。(CVE-2023-1436)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端 Redhat Enterprise Linux 8 主機上安裝的套件受到 RHSA-2023: 4506 公告中提及的多個弱點影響。

  - 在 jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版和 2.13.1 之前的 2.13.x 版中，攻擊者可以在涉及 JsonNode JDK 序列化的罕見情況下，造成拒絕服務 (每次讀取 2 GB 暫時性堆積使用量)。(CVE-2021-46877)

  - 從其中一個元素中包含自我參照的 Collection 建構 JSONArray 時，會在 Jettison 中觸發無限遞回。這會導致系統發出 StackOverflowError 例外狀況。(CVE-2023-1436)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2023:2097 公告中提及的多個弱點影響。

  - jackson-databind：使用 JDK 序列化來序列化 JsonNode 時可能發生 DoS (CVE-2021-46877)

  - SnakeYaml：建構函式反序列化遠端程式碼執行 (CVE-2022-1471)

  - rubygem-actionpack：Action Pack 中的潛在跨網站指令碼弱點 (CVE-2022-22577)

  - rubygem-loofah：導致拒絕服務的無效率規則運算式 (CVE-2022-23514)

  - rubygem-loofah：導致跨網站指令碼的 URI 出現不當資料中和 (CVE-2022-23515)

  - rubygem-loofah：導致拒絕服務的不受控制遞迴 (CVE-2022-23516)

  - rubygem-rails-html-sanitizer：導致拒絕服務的無效率規則運算式 (CVE-2022-23517)

  - rubygem-rails-html-sanitizer：導致跨網站指令碼的 URI 出現不當資料中和 (CVE-2022-23518)

  - rubygem-rails-html-sanitizer：特定組態的跨網站指令碼弱點 (CVE-2022-23519、 CVE-2022-23520)

  - snakeyaml：因遺漏集合的巢狀深度限制而導致拒絕服務 (CVE-2022-25857)

  - tfm-rubygem-actionview：Action Pack 中的潛在跨網站指令碼弱點 (CVE-2022-27777)

  - rubygem-tzinfo：任意程式碼執行 (CVE-2022-31163)

  - activerecord：Active Record 中的序列化欄可能發生 RCE 升級錯誤 (CVE-2022-32224)

  - apache-commons-configuration：Apache Commons Configuration 不安全的內插預設值 (CVE-2022-33980)

  - snakeyaml：org.yaml.snakeyaml.composer.Composer.composeSequenceNode 中未捕捉到的例外狀況 (CVE-2022-38749)

  - snakeyaml：org.yaml.snakeyaml.constructor.BaseConstructor.constructObject 中未捕捉到的例外狀況 (CVE-2022-38750)

  - snakeyaml：java.base/java.util.regex.Pattern$Ques.match (CVE-2022-38751) 中未捕捉到的例外狀況

  - snakeyaml：java.base/java.util.ArrayList.hashCode 中有未捕捉到的例外狀況 (CVE-2022-38752)

  - python-django：國際化 URL 中潛在的拒絕服務弱點 (CVE-2022-41323)

  - postgresql-jdbc：由於不安全的暫存檔權限，導致準備的陳述式資料資訊洩漏 (CVE-2022-41946)

  - jackson-databind：深層包裝函式陣列巢狀 wrt UNWRAP_SINGLE_VALUE_ARRAYS (CVE-2022-42003)

  - jackson-databind：使用深度巢狀陣列 (CVE-2022-42004)

  - apache-commons-text：變數內插 RCE (CVE-2022-42889)

  - python-django：透過 Accept-Language 標頭造成的潛在拒絕服務 (CVE-2023-23969)

  - python-django：檔案上傳中的潛在拒絕服務弱點 (CVE-2023-24580)

請注意，Nessus 並未測試這些問題，而是僅根據應用程式自我報告的版本號碼作出判斷。

因此，它受到 ALAS2023-2023-428 公告中提及的一個弱點影響。

  - 在 jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版和 2.13.1 之前的 2.13.x 版中，攻擊者可以在涉及 JsonNode JDK 序列化的罕見情況下，造成拒絕服務 (每次讀取 2 GB 暫時性堆積使用量)。(CVE-2021-46877)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2023:3610 公告中提及的多個弱點影響。

  - jackson-databind：使用 JDK 序列化來序列化 JsonNode 時可能發生 DoS (CVE-2021-46877)

  - maven-shared-utils：透過命令列類別命令插入 (CVE-2022-29599)

  - Jenkins plugin：Blue Ocean Plugin 中的 CSRF 弱點 (CVE-2022-30953)

  - Jenkins plugin：Blue Ocean Plugin 中缺少權限檢查 (CVE-2022-30954)

  - jettison：由 stackoverflow 造成的剖析器損毀 (CVE-2022-40149)

  - jettison：透過使用者提供的 XML 或 JSON 資料耗盡記憶體 (CVE-2022-40150)

  - jettison：如果 map 中的值是 map 本身，新的 JSONObject(map) 會造成 StackOverflowError，進而可能導致 dos (CVE-2022-45693)

  - json-smart：json-smart 中不受控制的資源消耗弱點 (資源耗盡) (CVE-2023-1370)

  - springframework：不使用前置詞雙重萬用字元模式的安全性繞過 (CVE-2023-20860)

  - springframework：Spring 運算式 DoS 弱點 (CVE-2023-20861)

  - jenkins-2-plugins/script-security：Jenkins 指令碼安全性 Plugin 中的沙箱繞過弱點 (CVE-2023-24422)

  - jenkins-2-plugin: workflow-job：Pipeline: Job Plugin 中的已儲存 XSS 弱點 (CVE-2023-32977)

  - jenkins-2-plugin: pipeline-utility-steps：Pipeline Utility Steps Plugin 中的任意檔案讀取弱點 (CVE-2023-32981)

請注意，Nessus 並未測試這些問題，而是僅根據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 9 主機上安裝的套件受到 RHSA-2023: 4507 公告中提及的多個弱點影響。

  - 在 jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版和 2.13.1 之前的 2.13.x 版中，攻擊者可以在涉及 JsonNode JDK 序列化的罕見情況下，造成拒絕服務 (每次讀取 2 GB 暫時性堆積使用量)。(CVE-2021-46877)

  - 從其中一個元素中包含自我參照的 Collection 建構 JSONArray 時，會在 Jettison 中觸發無限遞回。這會導致系統發出 StackOverflowError 例外狀況。(CVE-2023-1436)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 在 jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版和 2.13.1 之前的 2.13.x 版中，攻擊者可以在涉及 JsonNode JDK 序列化的罕見情況下，造成拒絕服務 (每次讀取 2 GB 暫時性堆積使用量)。(CVE-2021-46877)

請注意，Nessus 依賴供應商報告的套件存在。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2023:3299 公告中提及的多個弱點影響。

  - google-oauth-client：Native App 中缺少符合 RFC for OAuth 2.0 的 PKCE 支援可能會導致不當授權 (CVE-2020-7692)

  - kubernetes-client：unmarshalYaml 方法中的還原序列化不安全 (CVE-2021-4178)

  - jackson-databind：使用 JDK 序列化來序列化 JsonNode 時可能發生 DoS (CVE-2021-46877)

  - springframework：RegexRequestMatcher 中的授權繞過 (CVE-2022-22978)

  - com.google.code.gson-gson：com.google.code.gson-gson 對未受信任的資料執行反序列化 (CVE-2022-25647)

  - xstream： 序列化 XML 資料的 Xstream 容易遭受拒絕服務攻擊 (CVE-2022-40151)

  - woodstox-core：序列化 XML 資料的 woodstox 容易遭受拒絕服務攻擊 (CVE-2022-40152)

  - apache-commons-text：變數內插 RCE (CVE-2022-42889)

  - jenkins-2-plugins/script-security：Jenkins 指令碼安全性 Plugin 中的沙箱繞過弱點 (CVE-2023-24422)

  - Apache Commons FileUpload：具有過多部分的 FileUpload DoS (CVE-2023-24998)

  - jenkins-2-plugins/JUnit：JUnit Plugin 中的已儲存 XSS 弱點 (CVE-2023-25761)

  - jenkins-2-plugins/pipeline-build-step：Pipeline: Build Step Plugin 中的已儲存 XSS 弱點 (CVE-2023-25762)

  - Jenkins：拒絕服務攻擊 (CVE-2023-27900、CVE-2023-27901)

  - Jenkins：可透過目錄瀏覽器存取工作區暫存目錄 (CVE-2023-27902)

  - Jenkins：與代理程式相關的錯誤堆疊追踪導致資訊洩漏 (CVE-2023-27904)

請注意，Nessus 並未測試這些問題，而是僅根據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 9 主機上安裝的套件受到 RHSA-2023: 4920 公告中提及的多個弱點影響。

  - 在 jackson-databind 2.10.x 至 2.12.6 之前的 2.12.x 版和 2.13.1 之前的 2.13.x 版中，攻擊者可以在涉及 JsonNode JDK 序列化的罕見情況下，造成拒絕服務 (每次讀取 2 GB 暫時性堆積使用量)。(CVE-2021-46877)

  - 從其中一個元素中包含自我參照的 Collection 建構 JSONArray 時，會在 Jettison 中觸發無限遞回。這會導致系統發出 StackOverflowError 例外狀況。(CVE-2023-1436)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 IBM EngineeringRequirements Management DOORS (之前稱為 IBM Rational DOORS) 版本為 9.7.2.8 之前的 9.7.2.x 版。因此，它會受到 7124058 公告中所提及的多個弱點影響。

  - 1.9.1 之前的 Apache Shiro 版本可能將 RegexRequestMatcher 錯誤地設定為可在某些 servlet 容器上繞過。在規則運算式中使用含有 `.` 的 RegExPatternMatcher 的應用程式可能容易受到授權繞過影響。(CVE-2022-32532)

  - Java OpenWire 通訊協定封送處理器容易受到遠端程式碼執行影響。出現此弱點時，若遠端攻擊者可透過網路存取使用 Java 的 OpenWire 訊息代理程式或用戶端，便可能透過操控 OpenWire 通訊協定中的序列化類別類型來執行任意 shell 命令，造成用戶端或訊息代理程式 (分別) 具現化類別路徑的任何類別。建議使用者將訊息代理程式和用戶端升級至 5.15.16、5.16.7、5.17.6 或 5.18.3 版，即可修正此問題。
    (CVE-2023-46604)

  - 2.13.9 之前的 Scala 2.13.x 的 JAR 檔案中含有 Java 還原序列化鏈結。就其本身而言，它不會遭到惡意利用。只存在與應用程式內的 Java 物件還原序列化相關的風險。在這類情況下，攻擊者可透過小工具鏈結，利用此風險清除任意檔案的內容、建立網路連線，或可能執行任意程式碼 (特別是 Function0 函式)。(CVE-2022-36944)

  - IBM Engineering Requirements Management DOORS 9.7.2.7 容易遭受跨網站要求偽造弱點影響，攻擊者可藉以執行網站信任之使用者傳送的惡意和未經授權動作。IBM X-Force ID：251216。(CVE-2023-28949)

  - 在適用於 4.14 之前的 CKEditor 4.0 版的 HTML 資料處理器中有一個跨網站指令碼 (XSS) 弱點，允許遠端攻擊者透過特製的受保護註解 (使用 cke_protected 語法) 插入任意 Web 指令碼。(CVE-2020-9281)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
186231	Atlassian Jira Service Management Data Center and Server 4.20.x < 4.20.27 (JSDSERVER-14750)	Nessus	Misc.	2023/11/24	2024/10/7	high
180417	RHEL 8：RHEL 8 上的 Red Hat Single Sign-On 7.6.5 版安全性更新 (重要) (RHSA-2023: 4919)	Nessus	Red Hat Local Security Checks	2023/8/31	2024/11/7	high
180418	RHEL 7：RHEL 7 上的 Red Hat Single Sign-On 7.6.5 安全性更新 (重要) (RHSA-2023: 4918)	Nessus	Red Hat Local Security Checks	2023/8/31	2024/11/7	high
179409	RHEL 7：Red Hat JBoss Enterprise Application Platform (RHSA-2023: 4505)	Nessus	Red Hat Local Security Checks	2023/8/7	2024/11/7	high
179411	RHEL 8：Red Hat JBoss Enterprise Application Platform (RHSA-2023: 4506)	Nessus	Red Hat Local Security Checks	2023/8/7	2024/11/8	high
194316	RHEL 8：Satellite 6.13 Release (重要) (RHSA-2023:2097)	Nessus	Red Hat Local Security Checks	2024/4/28	2024/11/7	critical
184422	Amazon Linux 2023：jackson-databind (ALAS2023-2023-428)	Nessus	Amazon Linux Local Security Checks	2023/11/4	2024/12/11	high
194324	RHEL 8：jenkins and jenkins-2-plugins (RHSA-2023:3610)	Nessus	Red Hat Local Security Checks	2024/4/28	2024/11/7	critical
179410	RHEL 9：Red Hat JBoss Enterprise Application Platform (RHSA-2023: 4507)	Nessus	Red Hat Local Security Checks	2023/8/7	2024/11/7	high
230186	Linux Distros 未修補弱點：CVE-2021-46877	Nessus	Misc.	2025/3/5	2025/3/5	high
194250	RHEL 8：jenkins 和 jenkins-2-plugins (RHSA-2023:3299)	Nessus	Red Hat Local Security Checks	2024/4/28	2024/11/7	critical
180419	RHEL 9：RHEL 9 上的 Red Hat Single Sign-On 7.6.5 版安全性更新 (重要) (RHSA-2023: 4920)	Nessus	Red Hat Local Security Checks	2023/8/31	2024/11/7	high
191754	IBM Engineering Requirements Management DOORS 9.7.2.x < 9.7.2.8 多個弱點 (7124058)	Nessus	Windows	2024/3/8	2024/3/12	critical

偵測

搜尋 Plugin

high

high

high

high

high

critical

high

critical

high

high

critical

high

critical