根據其自我報告的版本號碼，遠端網頁伺服器上執行的 Drupal 執行個體是早於 9.2.15 的 9.2.x 版或早於 9.3.8 的 9.3.x 版。由於使用第三方元件 CKEditor 進行 WYSIWYG 編輯，因此它會受到下列多個弱點影響：

 - 在 CKEditor 4 HTML 處理核心模組中發現一個弱點。此弱點允許插入格式錯誤的 HTML 來繞過內容審查程式，這可能導致 JavaScript 程式碼執行攻擊。(CVE-2022-24728)

 - 在 CKEditor 4 dialog Plugin 中發現一個弱點。此弱點允許透過濫用對話方塊輸入驗證器規則運算式造成效能大幅下降，進而導致瀏覽器索引標籤凍結。(CVE-2022-24729)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 IBM EngineeringRequirements Management DOORS (之前稱為 IBM Rational DOORS) 版本為 9.7.2.8 之前的 9.7.2.x 版。因此，它會受到 7124058 公告中所提及的多個弱點影響。

  - 1.9.1 之前的 Apache Shiro 版本可能將 RegexRequestMatcher 錯誤地設定為可在某些 servlet 容器上繞過。在規則運算式中使用含有 `.` 的 RegExPatternMatcher 的應用程式可能容易受到授權繞過影響。(CVE-2022-32532)

  - Java OpenWire 通訊協定封送處理器容易受到遠端程式碼執行影響。出現此弱點時，若遠端攻擊者可透過網路存取使用 Java 的 OpenWire 訊息代理程式或用戶端，便可能透過操控 OpenWire 通訊協定中的序列化類別類型來執行任意 shell 命令，造成用戶端或訊息代理程式 (分別) 具現化類別路徑的任何類別。建議使用者將訊息代理程式和用戶端升級至 5.15.16、5.16.7、5.17.6 或 5.18.3 版，即可修正此問題。
    (CVE-2023-46604)

  - 2.13.9 之前的 Scala 2.13.x 的 JAR 檔案中含有 Java 還原序列化鏈結。就其本身而言，它不會遭到惡意利用。只存在與應用程式內的 Java 物件還原序列化相關的風險。在這類情況下，攻擊者可透過小工具鏈結，利用此風險清除任意檔案的內容、建立網路連線，或可能執行任意程式碼 (特別是 Function0 函式)。(CVE-2022-36944)

  - IBM Engineering Requirements Management DOORS 9.7.2.7 容易遭受跨網站要求偽造弱點影響，攻擊者可藉以執行網站信任之使用者傳送的惡意和未經授權動作。IBM X-Force ID：251216。(CVE-2023-28949)

  - 在適用於 4.14 之前的 CKEditor 4.0 版的 HTML 資料處理器中有一個跨網站指令碼 (XSS) 弱點，允許遠端攻擊者透過特製的受保護註解 (使用 cke_protected 語法) 插入任意 Web 指令碼。(CVE-2020-9281)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本號碼，遠端網頁伺服器上執行的 Drupal 執行個體是早於 9.2.15 的 9.2.x 版或早於 9.3.8 的 9.3.x 版。因此，會受到多個弱點影響。

  - CKEditor4 是一個開放原始碼的 what-you-see-is-what-you-get HTML 編輯器。CKEditor4 4.18.0 更舊版本的 `dialog` 外掛程式中有一個弱點。此弱點允許透過濫用對話方塊輸入驗證器規則運算式造成效能大幅下降，進而導致瀏覽器索引標籤凍結。 4.18.0 版提供修補程式。目前尚無已知的因應措施。(CVE-2022-24729)

  - CKEditor4 是一個開放原始碼的 what-you-see-is-what-you-get HTML 編輯器。在核心 HTML 處理模組中發現一個弱點，該弱點可能影響 CKEditor 4 4.18.0 更舊版本中使用的所有外掛程式。
    此弱點允許注入格式錯誤的 HTML 來繞過內容審查程式，進而可能導致執行 JavaScript 程式碼。此問題已在 4.18.0 版中修正。目前尚無已知的因應措施。(CVE-2022-24728)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 IBM EngineeringRequirements Management DOORS (之前稱為 IBM Rational DOORS) 版本為 9.7.2.10 之前的 9.7.2.9 版。因此會受到 7238992 公告中所提及的多個弱點影響。

  - CKEditor4 是一個開放原始碼的 WYSIWYG HTML 編輯器。在受影響的版本中，在核心 HTML 處理模組中發現一個弱點，可能影響 CKEditor 4 使用的所有外掛程式。此弱點允許繞過內容清理，插入格式錯誤的註解 HTML，進而導致執行 JavaScript 程式碼。此弱點會影響使用 CKEditor 4 版本 < 4.17.0 的所有使用者。已識別並修補此問題。此修正將在 4.17.0 版中提供。(CVE-2021-41165)

  - CKEditor4 是一個開放原始碼的 WYSIWYG HTML 編輯器。在受影響的版本中，在 Advanced Content Filter (ACF) 模組中發現一個弱點，可能影響 CKEditor 4 使用的所有外掛程式。此弱點允許繞過內容清理，插入格式錯誤的 HTML，進而導致執行 JavaScript 程式碼。此弱點會影響使用 CKEditor 4 版本 < 4.17.0 的所有使用者。已識別並修補此問題。此修正將在 4.17.0 版中提供。(CVE-2021-41164)

  - 在 4.16 之前的 CKEditor 4 內可透過說服受害者將特製的文字貼到特定對話方塊的樣式輸入 (在對話方塊外掛程式的進階索引標籤中) 的樣式輸入中藉此在 CKEditor 4 內執行 ReDoS 類型攻擊。 (CVE-2021-26271)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10 主機上安裝的一個套件受到 USN-7258-1 公告中所提及的多個弱點影響。

    Kevin Backhouse 發現 CKEditor 未正確清理 HTML 內容。攻擊者可能會利用此問題來執行跨網站指令碼攻擊並取得敏感資訊。此問題只影響 Ubuntu 16.04 LTS、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS 和 Ubuntu 22.04 LTS。(CVE-2022-24728)

    據發現，CKEditor 未正確處理 Iframe Dialog 和 Media Embed 套件中的編輯器執行個體的建立作業。攻擊者可能會利用此問題來執行跨網站指令碼攻擊並取得敏感資訊。此問題只影響 Ubuntu 16.04 LTS、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS 和 Ubuntu 22.04 LTS。(CVE-2023-28439)

    據發現，CKEditor 未正確處理 HTML 內容的剖析。攻擊者可能會利用此問題來執行跨網站指令碼攻擊並取得敏感資訊。(CVE-2024-24815、CVE-2024-24816)

    據發現，CKEditor 未正確清理版本通知。攻擊者可能會利用此問題來執行跨網站指令碼攻擊並取得敏感資訊。此問題僅影響 Ubuntu 24.04 LTS 和 Ubuntu 24.10。(CVE-2024-43411)

Tenable 已直接從 Ubuntu 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - CKEditor4 是一個開放原始碼的 what-you-see-is-what-you-get HTML 編輯器。在核心 HTML 處理模組中發現一個弱點，該弱點可能影響 CKEditor 4 4.18.0 更舊版本中使用的所有外掛程式。
    此弱點允許注入格式錯誤的 HTML 來繞過內容審查程式，進而可能導致執行 JavaScript 程式碼。此問題已在 4.18.0 版中修正。目前尚無已知的因應措施。(CVE-2022-24728)

請注意，Nessus 依賴供應商報告的套件存在。

遠端主機上安裝的 IBM Cognos Analytics 版本是 11.1.7 Fix Pack 7 之前的 11.1.x 版或 11.2.4 FP1 之前的 11.2.x 版。因此會受到包括以下在內的多個弱點影響：

  - GNOME libxml2 可允許遠端攻擊者在系統上執行任意程式碼，這是因為 xinclude.c 的 xmlXIncludeDoProcess() 函式中存在釋放後使用弱點所致。透過傳送特製的檔案，攻擊者可惡意利用此弱點，在系統上執行任意程式碼。(CVE-2021-3518)

  - Node.js 可允許本機攻擊者在系統上取得提升的權限，這是因為 providers.dll 的 DLL 搜尋順序劫持所致。透過放置特製檔案，攻擊者可惡意利用此弱點來提升權限。(CVE-2022-32223)

  - Node.js 標記的模組容易受到拒絕服務影響，這是因為 inline.reflinkSearch 中的規則運算式拒絕服務 (ReDoS) 缺陷所致。遠端攻擊者可藉由傳送特別構建的 Regex 輸入，利用此弱點造成拒絕服務情形。(CVE-2022-21681)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
113204	Drupal 9.2.x < 9.2.15 第三方程式庫弱點	Web App Scanning	Component Vulnerability	2022/3/18	2023/3/14	high
113206	Drupal 9.3.x < 9.3.8 第三方程式庫弱點	Web App Scanning	Component Vulnerability	2022/3/18	2023/3/14	high
191754	IBM Engineering Requirements Management DOORS 9.7.2.x < 9.7.2.8 多個弱點 (7124058)	Nessus	Windows	2024/3/8	2024/3/12	critical
158982	Drupal 9.2.x < 9.2.15 / 9.3.x < 9.3.8 多個弱點 (drupal-2022-03-16)	Nessus	CGI abuses	2022/3/16	2023/11/6	medium
242323	IBM EngineeringRequirements Management DOORS 9.7.2.9 < 9.7.2.10 多個弱點 (7238992)	Nessus	Windows	2025/7/18	2025/7/22	medium
215049	Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10：CKEditor 弱點 (USN-7258-1)	Nessus	Ubuntu Local Security Checks	2025/2/6	2025/9/3	medium
250769	Linux Distros 未修補的弱點：CVE-2022-24728	Nessus	Misc.	2025/8/18	2025/10/27	medium
175429	IBM Cognos Analytics 多個弱點 (6986505)	Nessus	CGI abuses	2023/5/12	2023/7/27	critical

偵測

搜尋 Plugin

high

high

critical

medium

medium

medium

medium

critical