遠端 Redhat Enterprise Linux 8 主機上安裝的套件受到 RHSA-2024:2010 公告中提及的多個弱點影響。

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

    安全性更新：
    * python-pygments：pygments 中的 ReDoS (CVE-2022-40896)
    * python-pycryptodomex：PyCryptodome 和 pycryptodomex 的 OAEP 解密中存在側通道洩漏弱點 (CVE-2023-52323)
    * satellite：satellite 中的算術溢位 (CVE-2023-4320)
    * automation-hub：Ansible Automation Hub：不安全的 galaxy-importer tarfile 擷取 (CVE-2023-5189)
    * jetty：不當將引號新增至 CgiServlet 中的使用者輸入 (CVE-2023-36479)
    * python-aiohttp：可透過 llhttp HTTP 要求剖析器觸發的 HTTP 要求走私弱點 (CVE-2023-37276)
    * rubygem-activesupport：本機加密檔案的檔案洩漏 (CVE-2023-38037)
    * jetty：不當驗證 HTTP/1 content-length (CVE-2023-40167)
    * python-django：`django.utils.encoding.uri_to_iri()` 中潛在的拒絕服務弱點 (CVE-2023-41164)
    * python-django：django.utils.text.Truncator 中可能存在拒絕服務弱點 (CVE-2023-43665)
    * python-aiohttp：具有標頭剖析功能的 HTTP 剖析器中有多個問題 (CVE-2023-47627)
    * python-aiohttp：HTTP 要求修改 (CVE-2023-49081)
    * python-aiohttp：若使用者使用 aiohttp 用戶端控制 HTTP 方法，則會發生 CRLF 插入攻擊 (CVE-2023-49082)
    * rubygem-puma：剖析區塊傳輸編碼內文時發生 HTTP 要求走私問題 (CVE-2024-21647)
    * rubygem-audited：爭用情形可能導致將稽核記錄錯誤地歸因於錯誤的使用者 (CVE-2024-22047)
    * python-jinja2：將使用者輸入作為金鑰傳遞至 xmlattr 篩選器時，發生 HTML 屬性插入攻擊 (CVE-2024-22195)
    * python-aiohttp：Follow_symlinks 目錄遊走弱點 (CVE-2024-23334)
    * python-aiohttp：HTTP 要求走私弱點 (CVE-2024-23829)

    其他變更：
    此更新亦可修正數個錯誤，並新增數個增強功能。

    這些變更的相關文件可從〈參照〉一節中的「版本資訊」文件連結中取得。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - Jetty 是 Java 型 Web 伺服器和 servlet 引擎。在 9.4.52、10.0.16、11.0.16 和 12.0.1 版之前，Jetty 接受「+」字元使 HTTP/1 標頭欄位中的 content-length 值繼續前進。這比 RFC 所允許的範圍更寬鬆，且其他伺服器通常會以 400 回應拒絕此類要求。目前尚無已知的惡意利用情境，但可以想像，如果將 jetty 與在傳送此類 400 回應後未關閉連線的伺服器搭配使用，可能會導致要求走私。9.4.52、10.0.16、11.0.16 和 12.0.1 版包含針對此問題的修補程式。由於沒有已知的惡意利用情境，因此沒有因應措施。(CVE-2023-40167)

請注意，Nessus 依賴供應商報告的套件存在。

遠端 Debian 10 主機上安裝的多個套件受到 dla-3592 公告中提及的多個弱點影響。

  - Jetty 是 java 型 Web 伺服器和 servlet 引擎。在受影響的版本中，對於具有 multipart 支援 (例如使用「@MultipartConfig」註解) 的 servlet 呼叫「HttpServletRequest.getParameter()」或「HttpServletRequest.getParts()」，當客戶端發送帶有以下部分的 multipart 請求時，可能會導致「OutOfMemoryError」：有名稱但沒有檔案名稱且內容非常大。即使使用應將整個部分內容串流至磁碟的「fileSizeThreshold=0」的預設設定，也會發生此情況。攻擊者用戶端可傳送大型 multipart 要求，並造成伺服器擲回「OutOfMemoryError」。不過，伺服器可能會在「OutOfMemoryError」發生後復原並繼續其服務，不過這可能需要一些時間。此問題已在 9.4.51、10.0.14 和 11.0.14 版本中修正。建議所有使用者進行升級。
    無法升級的使用者可設定 multipart 參數「maxRequestSize」，此參數必須設定為非負值，因此整個 multipart 內容會受到限制 (儘管仍會讀入記憶體)。
    (CVE-2023-26048)

  - Jetty 是 java 型 Web 伺服器和 servlet 引擎。Jetty 中的非標準 Cookie 剖析可允許攻擊者走私其他 Cookie 中的 Cookie，或透過竄改 Cookie 剖析機制來執行非預期行為。如果 Jetty 看到以 `` (雙引號) 開頭的 Cookie VALUE，即使遇到分號，也會繼續讀取 Cookie 字串，直到看到結尾引號。因此，以下 Cookie 標頭：「DISPLAY_LANGUAGE=b; JSESSIONID=1337； c=d」將會被剖析為一個 Cookie，其名稱為 DISPLAY_LANGUAGE，值為 b； JSESSIONID=1337； c=d 而非 3 個獨立的 Cookie。這具有安全性影響，因為如果 JSESSIONID 是 HttpOnly Cookie，且 DISPLAY_LANGUAGE Cookie 值是在頁面上轉譯，則攻擊者可將 JSESSIONID Cookie 走私到 DISPLAY_LANGUAGE Cookie 中，進而將其洩漏。當中介者根據 Cookie 制定某些原則時，此問題會造成較大影響，走私的 Cookie 可繞過該原則，但仍可供 Jetty 伺服器或其記錄系統看到。此問題已在 9.4.51、10.0.14、11.0.14 和 12.0.0.beta0 版中解決，建議所有使用者皆升級。此問題尚無已知的因應措施。
    (CVE-2023-26049)

  - Eclipse Jetty Canonical Repository 是 Jetty 專案的正式存放庫。具有非常特定命令結構的 CgiServlet 使用者可能執行了錯誤的命令。如果使用者傳送要求至 org.eclipse.jetty.servlets.CGI Servlet，以取得名稱中含有空格的二進位檔，則 Servlet 會透過將命令括在引號中來逸出命令。然後，系統將透過 Runtime.exec 呼叫執行此包裝的命令，以及一個選用的命令前置詞。如果使用者提供的原始二進位名稱包含一個引號，且後面緊接著一個空格，則產生的命令行將包含多個 token，而非一個。此問題已在 9.4.52、10.0.16、11.0.16 和 12.0.0-beta2 版中修補。
    (CVE-2023-36479)

  - Jetty 是 Java 型 Web 伺服器和 servlet 引擎。在 9.4.52、10.0.16、11.0.16 和 12.0.1 版之前，Jetty 接受「+」字元使 HTTP/1 標頭欄位中的 content-length 值繼續前進。這比 RFC 所允許的範圍更寬鬆，且其他伺服器通常會以 400 回應拒絕此類要求。目前尚無已知的惡意利用情境，但可以想像，如果將 jetty 與在傳送此類 400 回應後未關閉連線的伺服器搭配使用，可能會導致要求走私。 9.4.52、10.0.16、11.0.16 和 12.0.1 版包含針對此問題的修補程式。由於沒有已知的惡意利用情境，因此沒有因應措施。(CVE-2023-40167)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle Database Server 版本受到 2024 年 1 月 CPU 公告中提及的多個弱點影響。

  - Oracle Database Server 的 Java VM 元件中存在弱點。受影響的支援版本是 19.3-19.21 和 21.3-21.12。利用此弱點的難度較低，具有「建立工作階段」和「建立程序」權限且可透過 Oracle Net 存取網路的低權限攻擊者可藉此弱點入侵 Java VM。
    成功攻擊此弱點可導致未經授權即可建立、刪除或修改重要資料或所有 Java VM 可存取資料的存取權。(CVE-2024-20903)

  - Oracle Database Server 的 Oracle Spatial and Graph (curl) 元件中存在的弱點。受影響的支援版本是 19.3-19.21、21.3-21.12 和 23.3 。攻擊此弱點的難度較小，擁有「經驗證的使用者」權限並且經由 HTTP 存取網路的低權限攻擊者可以藉此入侵 Oracle Spatial and Graph (curl)。若成功攻擊此弱點，可能未經授權即能夠導致 Oracle Spatial and Graph (curl) 懸置或經常重複性當機 (完全 DOS)。
    (CVE-2023-38545)

  - Oracle Database Server 的 Oracle Text 元件中存在的弱點。受影響的支援版本是 19.3-19.21。此弱點較易攻擊成功，擁有 DBA 權限且可透過 Oracle Net 存取網路的高權限攻擊者可利用此弱點入侵 Oracle Text。成功攻擊此弱點可導致未經授權即可造成 Oracle Text 部分拒絕服務 (部分 DOS)。
    (CVE-2022-21432)

  - 針對不可惡意利用弱點 CVE-2022-41409、CVE-2022-46337、CVE-2023-2976、CVE-2023-4043、CVE-2023-36479、CVE-2023-40167、CVE-2023-41900、CVE-2023-42794、CVE-2023-42795、CVE-2023-44487、CVE-2023-45648 和 CVE-2023-46589 的深度安全性更新。


請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2024:0797 公告中提及的多個弱點影響。

    Red Hat Satellite 是一套系統管理解決方案，讓組織無須為其伺服器或其他用戶端系統提供公共網際網路存取，就可以設定和維護系統。可執行預先定義標準作業環境的佈建和組態管理。

    安全性修正：
    * CVE-2023-26049 (puppetserver)：引用值的 Cookie 剖析可從洩漏其他 Cookie 中的值
    * CVE-2023-26141 (rubygem-sidekiq)：dashboard-charts 中發生拒絕服務 (DoS)
    * CVE-2023-36479 (puppetserver)：不當將引號新增至 CgiServlet 中的使用者輸入
    * CVE-2023-38545 (puppet-agent)：SOCKS5 proxy 交握中的堆積型緩衝區溢位。
    * CVE-2023-40167 (puppetserver)：不當驗證 HTTP/1 content-length
    * CVE-2023-40175 (rubygem-puma)：剖析區塊傳輸編碼內文和零長度 content-length 標頭時發生 HTTP 要求走私問題
    * CVE-2023-4785 (rubygem-grpc)：檔案描述符號耗盡導致拒絕服務
    * CVE-2023-0809、CVE-2023-28366、CVE-2023-3592 (mosquitto)：記憶體洩漏導致代理人無回應

    此更新可修正下列錯誤：
    2250347 - 'Sun, 11 Jun 2023 17:51:29 GMT' 無法在 java.time.format.DateTimeFormatter.parseResolved 的索引 0 處剖析 2254974 - satellite-convert2rhel-toolkit 包含 `/usr/bin/bash:
    /usr/libexec/satellite-convert2rhel-appliance/action-install.sh 的最新 rpm 的安裝失敗：沒有此類檔案或目錄 ` 2255260 - 6.14 - satellite-convert2rhel-toolkit 屬於 Satellite 模組 2257321 - 要求 UEFI Kickstart Provisioning 處理命名慣例適用於格式 <parent_device>的 VLAN 標記介面。<vlan_id> 除了 vlan<vlan_id> 2257324 - 產生適用性工作失敗，並出現錯誤 錯誤：在表格 katello_content_facet_errata 上插入或更新違反外部金鑰限制 katello_content_facet_errata_ca_id 2257326 - 在失敗的安裝報告中顯示失敗的資源 2257327 - 不含任何訊息的 Puppet 報告不會獲得來源 2257329 - 當 VLAN 名稱包含「大寫字母」時，主機註冊失敗，並出現錯誤「附加至」不能為空白 2257330 - 預設調整設定檔保留 httpd MaxClients 150，這會讓 httpd 產生警告 2257331 - 透過負載平衡器註冊主機造成 REX 不清楚要為 'registered_through' 選擇何種 capsule 2257332 - 當 Capsule 的位置未指派給系統管理員使用者時，註冊時找不到任何 Capsule 2257415 - 佈建 vm 主機失敗，並出現錯誤 無法將 ISO 影像附加到執行個體 client.example.com 的 CDROM 磁碟機：InvalidPowerState：在目前的狀態 (開機) 下無法執行嘗試的作業。
    2260525 - [改善] Capsule Sync 中的 RefreshRepos 步驟，重新整理 repos 以同步 2262131 - 無法從 gcr.io 同步程式庫/busybox

    建議 Red Hat Satellite 使用者皆升級至這些更新版套件，這些套件可修正這些問題。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Enterprise Manager Base Platform 13.5.0.0 版受到 2024 年 7 月 CPU 公告中提及的多個弱點影響。

  - Oracle Enterprise Manager 的 Oracle Enterprise Manager Base Platform 產品中的弱點 (元件：安裝 (Apache Commons Net))。受影響的支援版本是 13.5.0.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Enterprise Manager Base Platform。若要成功攻擊，必須有攻擊者以外之他人的互動。攻擊者若成功攻擊此弱點，未經授權即可存取重要資料，或完整存取所有 Enterprise Manager Base Platform 可存取資料。(CVE-2021-37533)

  - Oracle Enterprise Manager 的 Oracle Enterprise Manager Base Platform 產品中的弱點 (元件：安裝 (json-smart))。受影響的支援版本是 13.5.0.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Enterprise Manager Base Platform。攻擊者若成功攻擊此弱點，則可在未經授權的情況下造成 Oracle Enterprise Manager Base Platform 懸置或經常重複性當機 (完全 DOS)。(CVE-2023-1370)

  - Oracle Enterprise Manager 的 Oracle Application Testing Suite 產品中存在弱點 (元件：安裝 (Apache Mina SSHD))。受影響的支援版本是 13.3.0.1。攻擊此弱點有一定難度，經由 SSH 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Application Testing Suite。若成功攻擊此弱點，攻擊者可在未經授權的情況下，建立、刪除或修改重要資料或所有 Oracle Application Testing Suite 可存取資料。(CVE-2023-48795)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

因此，會受到 ALAS2-2024-2460 公告中提及的一個弱點影響。

  - Jetty 是 Java 型 Web 伺服器和 servlet 引擎。在 9.4.52、10.0.16、11.0.16 和 12.0.1 版之前，Jetty 接受「+」字元使 HTTP/1 標頭欄位中的 content-length 值繼續前進。這比 RFC 所允許的範圍更寬鬆，且其他伺服器通常會以 400 回應拒絕此類要求。目前尚無已知的惡意利用情境，但可以想像，如果將 jetty 與在傳送此類 400 回應後未關閉連線的伺服器搭配使用，可能會導致要求走私。 9.4.52、10.0.16、11.0.16 和 12.0.1 版包含針對此問題的修補程式。由於沒有已知的惡意利用情境，因此沒有因應措施。(CVE-2023-40167)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2024:0778 公告中提及的多個弱點影響。

  - google-oauth-client：缺少符合 RFC for OAuth 2.0 之 Native Apps 的 PKCE 支援可導致不當授權 (CVE-2020-7692)

  - maven：依預設封鎖使用 http 的存放庫 (CVE-2021-26291)

  - golang：所有 Parse* 函式中的堆疊耗盡弱點 (CVE-2022-1962)

  - snakeyaml：因遺漏集合的巢狀深度限制而導致拒絕服務 (CVE-2022-25857)

  - maven-shared-utils：透過命令列類別命令插入 (CVE-2022-29599)

  - apache-commons-text：變數內插 RCE (CVE-2022-42889)

  - guava：不安全的暫存目錄建立方式 (CVE-2023-2976)

  - springframework：Spring 運算式 DoS 弱點 (CVE-2023-20861)

  - spring-security：登出時未正確儲存空白的 SecurityContext (CVE-2023-20862)

  - jenkins-2-plugins/script-security：Jenkins 指令碼安全性 Plugin 中的沙箱繞過弱點 (CVE-2023-24422)

  - jenkins-2-plugins/JUnit：JUnit Plugin 中的已儲存 XSS 弱點 (CVE-2023-25761)

  - jenkins-2-plugins/pipeline-build-step：Pipeline: Build Step 外掛程式中的已儲存 XSS 弱點 (CVE-2023-25762)

  - jetty-server：讀取沒有檔案名稱的大型 multipart 時 request.getParameter() 會發生記憶體不足錯誤 (CVE-2023-26048)

  - jetty-server：引用值的 Cookie 剖析可從洩漏其他 Cookie 中的值 (CVE-2023-26049)

  - Jenkins：使用不安全的權限建立暫存檔案參數 (CVE-2023-27903)

  - Jenkins：與代理程式相關的錯誤堆疊追踪導致資訊洩漏 (CVE-2023-27904)

  - Jenkins：OpenShift Login 外掛程式中的開放重新導向弱點 (CVE-2023-37947)

  - jetty：不當驗證 HTTP/1 content-length (CVE-2023-40167)

  - jenkins-plugins: cloudbees-folder：Folders 外掛程式中的 CSRF 弱點 (CVE-2023-40337)

  - jenkins-plugins: cloudbees-folder：Folders 外掛程式中的資料洩露弱點 (CVE-2023-40338)

  - jenkins-plugins: config-file-provider：不當遮罩 Config File Provider 外掛程式中的認證 (CVE-2023-40339)

  - jenkins-plugins: blueocean：BlueOcean 外掛程式中的 CSRF 弱點允許擷取認證 (CVE-2023-40341)

  - jenkins：透過 CLI 的任意檔案讀取弱點可導致 RCE (CVE-2024-23897)

  - jenkins：跨網站 WebSocket 劫持 (CVE-2024-23898)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Debian 11/12 主機上安裝的多個套件受到 dsa-5507 公告中提及的多個弱點影響。

    在 Java 型 Web 伺服器和 servlet 引擎 Jetty 中發現多個安全性弱點。org.eclipse.jetty.servlets.CGI 類別已過時。使用它可能不安全。Jetty 的上游開發人員建議改用快速 CGI。另請參閱 CVE-2023-36479。CVE-2023-26048 在受影響的版本中，對於具有 multipart 支援 (例如使用「@MultipartConfig」註解) 的 servlet 呼叫「HttpServletRequest.getParameter()」或「HttpServletRequest.getParts()」，當客戶端發送帶有以下部分的 multipart 請求時，可能會導致「OutOfMemoryError」：有名稱但沒有檔案名稱且內容非常大。
    即使使用應將整個部分內容串流至磁碟的「fileSizeThreshold=0」的預設設定，也會發生此情況。CVE-2023-26049 Jetty 中的非標準 Cookie 剖析可允許攻擊者走私其他 Cookie 中的 Cookie，或透過竄改 Cookie 剖析機制來執行非預期行為。CVE-2023-40167 在這個版本之前，Jetty 已接受「+」字元使 HTTP/1 標頭欄位中的 content-length 值繼續前進。這比 RFC 所允許的範圍更寬鬆，且其他伺服器通常會以 400 回應拒絕此類要求。目前尚無已知的惡意利用情境，但可以想像，如果將 jetty 與在傳送此類 400 回應後未關閉連線的伺服器搭配使用，可能會導致要求走私。CVE-2023-36479 具有非常特定命令結構的 CgiServlet 使用者可能執行了錯誤的命令。如果使用者傳送要求至 org.eclipse.jetty.servlets.CGI Servlet，以取得名稱中含有空格的二進位檔，則 Servlet 會透過將命令括在引號中來逸出命令。然後，系統將透過 Runtime.exec 呼叫執行此包裝的命令，以及一個選用的命令前置詞。如果使用者提供的原始二進位名稱包含一個引號，且後面緊接著一個空格，則產生的命令行將包含多個 token，而非一個。CVE-2023-41900 Jetty 容易受到弱式驗證影響。如果 Jetty「OpenIdAuthenticator」使用選用的巢狀「LoginService」，且「LoginService」決定撤銷已驗證的使用者，則目前的要求仍會將使用者視為經過驗證。驗證會從工作階段中清除，後續要求也不會視為經過驗證。因此，在先前經過驗證的工作階段上的要求被「LoginService」拒絕後，可能會被允許繞過驗證。這會影響已設定巢狀「LoginService」且「LoginService」能夠拒絕先前經過驗證的使用者的 jetty-openid 使用方式。針對 oldstable 發行版本 (bullseye)，已在 9.4.39-3+deb11u2 版本中修正這些問題。針對穩定的發行版本 (bookworm)，已在 9.4.50-4+deb12u1 版中修正這些問題。建議您升級 jetty9 套件。如需有關 jetty9 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：https://security-tracker.debian.org/tracker/jetty9

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 IBM Cognos Analytics 版本低於 11.2.4 FP4 或 12.0.4。因此，該主機受到 7173592 公告中所提及的多個弱點影響。

  - formidable v3.1.4 中的任意檔案上傳弱點允許攻擊者透過偽造的檔案名稱來執行任意程式碼。請注意：有些第三方對於此問題存在爭議，因為在此產品的普通使用案例中，上傳任意檔案是需要的行為。另外，這些也是所有版本中能夠更改預設的檔案處理行為的設定選項。Strapi 認為這不是有效弱點。(CVE-2022-29622)

  - Node.js IP 套件允許遠端攻擊者在系統中執行任意程式碼，這是由 ip.isPublic() 函式中的伺服器端要求偽造缺陷造成。攻擊者可藉由傳送使用十六進位表示法的私有 IP 位址的特製要求，利用此弱點在系統中執行任意程式碼並取得敏感資訊。(CVE-2023-42282)   
  - 多個廠商的產品容易受到拒絕服務攻擊，原因是 HTTP/2 通訊協定在處理多路複用串流時會產生缺陷。遠端攻擊者可藉由在多個串流上傳送大量 HTTP/2 要求和 RST_STREAM 幀，利用此弱點來造成伺服器資源佔用，進而導致系統拒絕服務。(CVE-2023-44487)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
199805	RHEL 8：Satellite 6.15.0 (重要) (RHSA-2024:2010)	Nessus	Red Hat Local Security Checks	2024/6/3	2025/3/6	high
226245	Linux Distros 未修補弱點：CVE-2023-40167	Nessus	Misc.	2025/3/5	2025/3/5	medium
182409	Debian DLA-3592-1：jetty9 - LTS 安全性更新	Nessus	Debian Local Security Checks	2023/10/1	2025/1/22	medium
189165	Oracle 資料庫伺服器 (2024 年 1 月 CPU)	Nessus	Databases	2024/1/18	2024/4/19	medium
194396	RHEL 8：Satellite 6.14.2 Async Security Update (重要) (RHSA-2024:0797)	Nessus	Red Hat Local Security Checks	2024/4/28	2024/11/11	high
202596	Oracle Enterprise Manager Cloud Control (2024 年 7 月 CPU)	Nessus	Misc.	2024/7/18	2024/10/18	medium
190690	Amazon Linux 2：jetty (ALAS-2024-2460)	Nessus	Amazon Linux Local Security Checks	2024/2/19	2024/12/11	medium
194435	RHEL 8：Jenkins and Jenkins-2-plugins (RHSA-2024:0778)	Nessus	Red Hat Local Security Checks	2024/4/29	2024/11/7	critical
182198	Debian DSA-5507-1：jetty9 - 安全性更新	Nessus	Debian Local Security Checks	2023/9/29	2025/1/24	medium
213274	IBM Cognos Analytics 11.2.x < 11.2.4 FP4 / 12.0.x < 12.0.4 多個弱點 (7173592)	Nessus	CGI abuses	2024/12/20	2025/4/3	critical

偵測

搜尋 Plugin

high

medium

medium

medium

high

medium

medium

critical

medium

critical