The remote Redhat Enterprise Linux 7 host has packages installed that are affected by multiple vulnerabilities as referenced in the RHSA-2025:9583 advisory.

    Red Hat JBoss Enterprise Application Platform 7 is a platform for Java applications based on the WildFly     application runtime. This release of Red Hat JBoss Enterprise Application Platform 7.3.14 serves as a     replacement for Red Hat JBoss Enterprise Application Platform 7.3.13, and includes bug fixes and     enhancements. See the Red Hat JBoss Enterprise Application Platform 7.3.14 Release Notes for information     about the most significant bug fixes and enhancements included in this release.

    Security Fix(es):

    * undertow: unrestricted request storage leads to memory exhaustion [eap-7.3.z] (CVE-2023-1973)

    * undertow: Infinite loop in SslConduit during close [eap-7.3.z] (CVE-2023-1108)

    * undertow: OutOfMemoryError due to @MultipartConfig handling [eap-7.3.z] (CVE-2023-3223)

    * undertow: Out-of-memory Error after several closed connections with wildfly-http-client protocol     [eap-7.3.z] (CVE-2024-1635)

    * keycloak: org.keycloak.protocol.oidc: unvalidated cross-origin messages in checkLoginIframe leads to     DDoS [eap-7.3.z] (CVE-2024-1249)

    * undertow: Server identity in https connection is not checked by the undertow client [eap-7.3.z]     (CVE-2022-4492)

    * undertow: potential security issue in flow control over HTTP/2 may lead to DOS(incomplete fix for     CVE-2021-3629) [eap-7.3.z] (CVE-2022-1259)

    * undertow: Large AJP request may cause DoS [eap-7.3.z] (CVE-2022-2053)

    * undertow: AJP Request closes connection exceeding maxRequestSize [eap-7.3.z] (CVE-2023-5379)

    * undertow: Double AJP response for 400 from EAP 7 results in CPING failures [eap-7.3.z] (CVE-2022-1319)

    * eap: JBoss EAP: wildfly-elytron has a SSRF security issue [eap-7.3.z] (CVE-2024-1233)

    * wildfly-elytron: possible timing attacks via use of unsafe comparator [eap-7.3.z] (CVE-2022-3143)

    * netty-all: netty-codec: SnappyFrameDecoder doesn't restrict chunk length and may buffer skippable chunks     in an unnecessary way [eap-7.3.z] (CVE-2021-37137)

    * netty-all: netty-codec: Bzip2Decoder doesn't allow setting size restrictions for decompressed data     [eap-7.3.z] (CVE-2021-37136)

    * jackson-databind: denial of service via a large depth of nested objects [eap-7.3.z] (CVE-2020-36518)

    For more details about the security issue(s), including the impact, a CVSS score, acknowledgements, and     other related information, refer to the CVE page(s) listed in the References section.

Tenable has extracted the preceding description block directly from the Red Hat Enterprise Linux security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

リモートRedhat Enterprise Linux 7ホストに、RHSA-2025:9582アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.1.11 のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.1.10 に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.1.11 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertowクエリの特殊文字によってサーバーエラーが発生します [eap-7.1.z]CVE-2020-27782

    * wildflyWildfly Enterprise Java Beans での安全でない逆シリアル化 [eap-7.1.z]CVE-2020-10740

    * libthrift信頼できないペイロードを処理する際の潜在的な DoS [eap-7.1.z]CVE-2020-13949

    * netty-allnetty-codecSnappyFrameDecoder がチャンク長を制限せず、不要な方法でスキップ可能なチャンクをバッファする可能性があります [eap-7.1.z]CVE-2021-37137

    * hibernate-corehibernate.use_sql_comments と JPQL 文字列リテラルの両方が使用されている場合の SQL インジェクションの脆弱性 [eap-7.1.z]CVE-2020-25638

    * wildfly-opensslWildFly OpenSSL での HTTP セッション作成ごとのメモリ漏洩 - WFSSL-51 - 相互認証および OpenSSL によるメモリ漏洩CVE-2020-25644

    * netty-allnetty-codecBzip2Decoder が、展開されたデータに対してサイズ制限を設定することを許可しません [eap-7.1.z]CVE-2021-37136

    * jackson-databind深度の高いネスト化されたオブジェクトによるサービス拒否 [eap-7.1.z]CVE-2020-36518

    * eapJBoss EAPwildfly-elytron に SSRF のセキュリティ問題があります [eap-7.1.z]CVE-2024-1233

    * keycloakorg.keycloak.protocol.oidccheckLoginIframe の未検証のクロスオリジンメッセージが DDoS を引き起こします [eap-7.1.z]CVE-2024-1249

    * undertowhttps 接続のサーバー識別は、undertow クライアントによってチェックされません [eap-7.1.z]CVE-2022-4492

    * undertowAJP リクエストが maxRequestSize を超える接続を切断します [eap-7.1.z]CVE-2023-5379

    * undertowHTTP/2 のフローコントロールにある潜在的なセキュリティ問題が、DOS につながる可能性があります に対する不完全な修正 CVE-2021-3629eap-7.1.zCVE-2022-1259

    * wildfly-elytron安全でないコンパレータの使用によるタイミング攻撃の可能性 [eap-7.1.z]CVE-2022-3143

    * jakarta-elELParserTokenManager により、無効な EL 式を評価できるようにします [eap-7.1.z]CVE-2021-28170

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2025:9583 公告中提及的多个漏洞的影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.3.14 版本用于替换 Red Hat JBoss Enterprise Application Platform 7.3.13，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.3.14 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * undertow不受限制的请求存储导致内存耗尽 [eap-7.3.z] (CVE-2023-1973)

    * undertow关闭期间 SslConduit 中的无限循环 [eap-7.3.z] (CVE-2023-1108)

    * undertow@MultipartConfig 处理导致的 OutOfMemoryError [eap-7.3.z] (CVE-2023-3223)

    * undertow在关闭多个具有 wildfly-http-client 协议的连接后发生内存不足错误 [eap-7.3.z] (CVE-2024-1635)

    * keycloakorg.keycloak.protocol.oidc checkLoginIframe 中未经验证的跨源消息会导致 DDoS [eap-7.3.z] (CVE-2024-1249)

    * undertowundertow 客户端未检查 https 连接中的服务器身份 [eap-7.3.z] (CVE-2022-4492)

    * undertowHTTP/2 中的流控制中的潜在安全问题可能导致 DOS对 的不完整修复 CVE-2021-3629[eap-7.3.z] (CVE-2022-1259)

    * undertow大型 AJP 请求可能导致 DoS [eap-7.3.z] (CVE-2022-2053)

    * undertowAJP 请求关闭超过 maxRequestSize 的连接 [eap-7.3.z] (CVE-2023-5379)

    * undertow对 400 的双重 AJP 响应从 EAP 7 导致 CPING 失败 [eap-7.3.z] (CVE-2022-1319)

    * eapJBoss EAPwildfly-elytron 存在 SSRF 安全问题 [eap-7.3.z] (CVE-2024-1233)

    * wildfly-elytron通过使用不安全的比较器可能发生时序攻击 [eap-7.3.z] (CVE-2022-3143)

    * netty-allnetty-codecSnappyFrameDecoder 未限制区块长度并可能以不必要的方式缓冲可跳过的区块 [eap-7.3.z] (CVE-2021-37137)

    * netty-allnetty-codec Bzip2Decoder 不允许设置解压缩数据的大小限制 [eap-7.3.z] (CVE-2021-37136)

    * jackson-databind通过大深度嵌套对象造成拒绝服务 [eap-7.3.z] (CVE-2020-36518)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

リモート Redhat Enterprise Linux 7 ホストに、RHSA-2025:9583 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.3.14 のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.3.13 に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.3.14 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertow無制限のリクエストストレージがメモリの枯渇を引き起こします [eap-7.3.z]CVE-2023-1973

    * undertowクローズ中の SslConduit の無限ループ [eap-7.3.z]CVE-2023-1108

    * undertow@MultipartConfig 処理による OutOfMemoryError eap-7.3.z]CVE-2023-3223

    * undertowwildfly-http-client プロトコルとの接続がいくつか閉じられた後のメモリ不足エラー [eap-7.3.z]CVE-2024-1635

    * keycloakorg.keycloak.protocol.oidccheckLoginIframe の未検証のクロスオリジンメッセージが DDoS を引き起こします [eap-7.3.z]CVE-2024-1249

    * undertowhttps 接続のサーバー識別は、undertow クライアントによってチェックされません [eap-7.3.z]CVE-2022-4492

    * undertowHTTP/2 のフローコントロールにある潜在的なセキュリティ問題が、DOS につながる可能性があります に対する不完全な修正 CVE-2021-3629eap-7.3.zCVE-2022-1259

    * undertow大きな AJP リクエストが DoS を引き起こす可能性があります [eap-7.3.z]CVE-2022-2053

    * undertowAJP リクエストが maxRequestSize を超える接続を切断します [eap-7.3.z]CVE-2023-5379

    * undertowEAP 7 からの 400 に対する二重 AJP 応答により、CPING エラーが発生します [eap-7.3.z]CVE-2022-1319

    * eapJBoss EAPwildfly-elytron に SSRF のセキュリティ問題があります [eap-7.3.z]CVE-2024-1233

    * wildfly-elytron安全でないコンパレータの使用によるタイミング攻撃の可能性 [eap-7.3.z]CVE-2022-3143

    * netty-allnetty-codecSnappyFrameDecoder がチャンク長を制限せず、不要な方法でスキップ可能なチャンクをバッファする可能性があります [eap-7.3.z]CVE-2021-37137

    * netty-allnetty-codecBzip2Decoder が、展開されたデータに対してサイズ制限を設定することを許可しません [eap-7.3.z]CVE-2021-37136

    * jackson-databind深度の高いネスト化されたオブジェクトによるサービス拒否 [eap-7.3.z]CVE-2020-36518

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2025:9582 公告中提及的多个漏洞的影响。

    Red Hat JBoss Enterprise Application Platform 7 是基于 WildFly 应用程序运行时的 Java 应用程序平台。此 Red Hat JBoss Enterprise Application Platform 7.1.11 版本用于替换 Red Hat JBoss Enterprise Application Platform 7.1.10，并包含缺陷修复和多项增强。请参阅 Red Hat JBoss Enterprise Application Platform 7.1.11 版本说明以获取有关此版本最重要的缺陷修复和增强功能信息。

    安全修复：

    * undertow查询结果中的特殊字符导致服务器错误 [eap-7.1.z] (CVE-2020-27782)

    * wildflyWildfly Enterprise Java Beans 中不安全的反序列化 [eap-7.1.z] (CVE-2020-10740)

    * libthrift处理不受信任的负载时可能发生的 DoS [eap-7.1.z] (CVE-2020-13949)

    * netty-allnetty-codecSnappyFrameDecoder 未限制区块长度并可能以不必要的方式缓冲可跳过的区块 [eap-7.1.z] (CVE-2021-37137)

    * hibernate-core同时使用 hibernate.use_sql_comments 和 JPQL 字符串文本时的 SQL 注入漏洞 [eap-7.1.z] (CVE-2020-25638)

    * wildfly-openssl在 WildFly OpenSSL 中每个 HTTP 会话创建过程中存在的内存泄漏 - WFSSL-51 - 相互认证和 OpenSSL 的内存泄漏 (CVE-2020-25644)

    * netty-allnetty-codecBzip2Decoder 不允许设置解压缩数据的大小限制 [eap-7.1.z] (CVE-2021-37136)

    * jackson-databind通过大量嵌套对象造成拒绝服务 [eap-7.1.z] (CVE-2020-36518)

    * eapJBoss EAPwildfly-elytron 存在 SSRF 安全问题 [eap-7.1.z] (CVE-2024-1233)

    * keycloakorg.keycloak.protocol.oidc checkLoginIframe 中未经验证的跨源消息会导致 DDoS [eap-7.1.z] (CVE-2024-1249)

    * undertowundertow 客户端未检查 https 连接中的服务器身份 [eap-7.1.z] (CVE-2022-4492)

    * undertowAJP 请求关闭超过 maxRequestSize 的连接 [eap-7.1.z] (CVE-2023-5379)

    * undertowHTTP/2 中的流控制存在潜在安全问题可能导致 DOS不完整修复 CVE-2021-3629[eap-7.1.z] (CVE-2022-1259)

    * wildfly-elytron通过使用不安全的比较器可能发生时序攻击 [eap-7.1.z] (CVE-2022-3143)

    * jakarta-elELParserTokenManager 支持对无效的 EL 表达式进行求值 [eap-7.1.z] (CVE-2021-28170)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2025:9583 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.3.14 是 Red Hat JBoss Enterprise Application Platform 7.3.13 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.3.14 版本資訊。

    安全性修正：

    * undertow不受限制的要求儲存空間導致記憶體耗盡 [eap-7.3.z] (CVE-2023-1973)

    * undertow關閉期間SslConduit 中的無限迴圈 [eap-7.3.z] (CVE-2023-1108)

    * undertow由於 @MultipartConfig 處理而導致 OutOfMemoryError [eap-7.3.z] (CVE-2023-3223)

    * undertow使用 wildfly-http-client 通訊協定關閉數個連線後發生記憶體不足錯誤 [eap-7.3.z] (CVE-2024-1635)

    * keycloakorg.keycloak.protocol.oidccheckLoginIframe 中未經驗證的跨來源訊息會導致 DDoS [eap-7.3.z] (CVE-2024-1249)

    * undertowundertow 用戶端未檢查 https 連線中的伺服器身分 [eap-7.3.z] (CVE-2022-4492)

    * undertow在透過 HTTP/2 的流量控制中的潛在安全性問題可能會導致 DOS( CVE-2021-3629的不完整修正) [eap-7.3.z] (CVE-2022-1259)

    * undertow大型 AJP 要求可能造成 DoS [eap-7.3.z] (CVE-2022-2053)

    * undertowAJP 要求關閉連線超過 maxRequestSize [eap-7.3.z] (CVE-2023-5379)

    * undertowEAP 7 中 400 的雙重 AJP 回應導致 CPING 失敗 [eap-7.3.z] (CVE-2022-1319)

    * eapJBoss EAPwildfly-elytron 有一個 SSRF 安全性問題 [eap-7.3.z] (CVE-2024-1233)

    * wildfly-elytron可能透過使用不安全比較子發動的定時攻擊 [eap-7.3.z] (CVE-2022-3143)

    * netty-allnetty-codecSnappyFrameDecoder 未限制區塊長度且可能會以不必要的方式緩衝可略過的區塊 [eap-7.3.z] (CVE-2021-37137)

    * netty-allnetty-codecBzip2Decoder 不允許設定解壓縮資料的大小限制 [eap-7.3.z] (CVE-2021-37136)

    * jackson-databind透過大型巢狀物件深度造成的拒絕服務 [eap-7.3.z] (CVE-2020-36518)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2025:9582 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.1.11 是 Red Hat JBoss Enterprise Application Platform 7.1.10 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.1.11 版本資訊。

    安全性修正：

    * undertow查詢中的特殊字元導致伺服器錯誤 [eap-7.1.z] (CVE-2020-27782)

    * wildflyWildfly Enterprise Java Beans 中的不安全還原序列化 [eap-7.1.z] (CVE-2020-10740)

    * libthrift處理不受信任的承載時可能發生 DoS [eap-7.1.z] (CVE-2020-13949)

    * netty-allnetty-codecSnappyFrameDecoder 未限制區塊長度且可能會以不必要的方式緩衝可略過的區塊 [eap-7.1.z] (CVE-2021-37137)

    * hibernate-core使用 hibernate.use_sql_comments 和 JPQL 字串常值時出現 SQL 插入弱點 [eap-7.1.z] (CVE-2020-25638)

    * wildfly-opensslWildFly OpenSSL 中每次建立 HTTP 工作階段時都會發生記憶體洩漏 - WFSSL-51 - 相互驗證和 OpenSSL 會發生記憶體洩漏 (CVE-2020-25644)

    * netty-allnetty-codecBzip2Decoder 不允許設定解壓縮資料的大小限制 [eap-7.1.z] (CVE-2021-37136)

    * jackson-databind透過大型巢狀物件深度造成的拒絕服務 [eap-7.1.z] (CVE-2020-36518)

    * eapJBoss EAPwildfly-elytron 有一個 SSRF 安全性問題 [eap-7.1.z] (CVE-2024-1233)

    * keycloakorg.keycloak.protocol.oidccheckLoginIframe 中未經驗證的跨來源訊息會導致 DDoS [eap-7.1.z] (CVE-2024-1249)

    * undertowundertow 用戶端未檢查 https 連線中的伺服器身分 [eap-7.1.z] (CVE-2022-4492)

    * undertowAJP 要求關閉連線超過 maxRequestSize [eap-7.1.z] (CVE-2023-5379)

    * undertow在透過 HTTP/2 的流量控制中的潛在安全性問題可能會導致 DOS( CVE-2021-3629的不完整修正) [eap-7.1.z] (CVE-2022-1259)

    * wildfly-elytron可能透過使用不安全比較子發動的定時攻擊 [eap-7.1.z] (CVE-2022-3143)

    * jakarta-elELParserTokenManager 允許評估無效的 EL 運算式 [eap-7.1.z] (CVE-2021-28170)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

The remote Redhat Enterprise Linux 7 host has packages installed that are affected by multiple vulnerabilities as referenced in the RHSA-2025:9582 advisory.

    Red Hat JBoss Enterprise Application Platform 7 is a platform for Java applications based on the WildFly     application runtime. This release of Red Hat JBoss Enterprise Application Platform 7.1.11 serves as a     replacement for Red Hat JBoss Enterprise Application Platform 7.1.10, and includes bug fixes and     enhancements. See the Red Hat JBoss Enterprise Application Platform 7.1.11 Release Notes for information     about the most significant bug fixes and enhancements included in this release.

    Security Fix(es):

    * undertow: special character in query results in server errors [eap-7.1.z] (CVE-2020-27782)

    * wildfly: unsafe deserialization in Wildfly Enterprise Java Beans [eap-7.1.z] (CVE-2020-10740)

    * libthrift: potential DoS when processing untrusted payloads [eap-7.1.z] (CVE-2020-13949)

    * netty-all: netty-codec: SnappyFrameDecoder doesn't restrict chunk length and may buffer skippable chunks     in an unnecessary way [eap-7.1.z] (CVE-2021-37137)

    * hibernate-core: SQL injection vulnerability when both hibernate.use_sql_comments and JPQL String     literals are used [eap-7.1.z] (CVE-2020-25638)

    * wildfly-openssl: memory leak per HTTP session creation in WildFly OpenSSL - WFSSL-51 - Memory leak with     mutual authentication and OpenSSL (CVE-2020-25644)

    * netty-all: netty-codec: Bzip2Decoder doesn't allow setting size restrictions for decompressed data     [eap-7.1.z] (CVE-2021-37136)

    * jackson-databind: denial of service via a large depth of nested objects [eap-7.1.z] (CVE-2020-36518)

    * eap: JBoss EAP: wildfly-elytron has a SSRF security issue [eap-7.1.z] (CVE-2024-1233)

    * keycloak: org.keycloak.protocol.oidc: unvalidated cross-origin messages in checkLoginIframe leads to     DDoS [eap-7.1.z] (CVE-2024-1249)

    * undertow: Server identity in https connection is not checked by the undertow client [eap-7.1.z]     (CVE-2022-4492)

    * undertow: AJP Request closes connection exceeding maxRequestSize [eap-7.1.z] (CVE-2023-5379)

    * undertow: potential security issue in flow control over HTTP/2 may lead to DOS(incomplete fix for     CVE-2021-3629) [eap-7.1.z] (CVE-2022-1259)

    * wildfly-elytron: possible timing attacks via use of unsafe comparator [eap-7.1.z] (CVE-2022-3143)

    * jakarta-el: ELParserTokenManager enables invalid EL expressions to be evaluate [eap-7.1.z]     (CVE-2021-28170)

    For more details about the security issue(s), including the impact, a CVSS score, acknowledgments, and     other related information, refer to the CVE page(s) listed in the References section.

Tenable has extracted the preceding description block directly from the Red Hat Enterprise Linux security advisory.

Note that Nessus has not tested for these issues but has instead relied only on the application's self-reported version number.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - A flaw was found in Undertow. When an AJP request is sent that exceeds the max-header-size attribute in     ajp-listener, JBoss EAP is marked in an error state by mod_cluster in httpd, causing JBoss EAP to close     the TCP connection without returning an AJP response. This happens because mod_proxy_cluster marks the     JBoss EAP instance as an error worker when the TCP connection is closed from the backend after sending the     AJP request without receiving an AJP response, and stops forwarding. This issue could allow a malicious     user could to repeatedly send requests that exceed the max-header-size, causing a Denial of Service (DoS).
    (CVE-2023-5379)

Note that Nessus relies on the presence of the package as reported by the vendor.

ID	名稱	產品	系列	已發布	已更新	嚴重性
240509	RHEL 7 : Red Hat JBoss Enterprise Application Platform 7.3.14 Security update (Important) (RHSA-2025:9583)	Nessus	Red Hat Local Security Checks	2025/6/25	2025/6/25	high
240506	RHEL 7 : RHEL 7 上の Red Hat JBoss Enterprise Application Platform 7.1.11 (RHSA-2025:9582)	Nessus	Red Hat Local Security Checks	2025/6/25	2025/6/25	high
240509	RHEL 7：Red Hat JBoss Enterprise Application Platform 7.3.14 安全更新（重要）(RHSA-2025:9583)	Nessus	Red Hat Local Security Checks	2025/6/25	2025/6/25	high
240509	RHEL 7 : Red Hat JBoss Enterprise Application Platform 7.3.14 Security の更新 (重要) (RHSA-2025:9583)	Nessus	Red Hat Local Security Checks	2025/6/25	2025/6/25	high
240506	RHEL 7：RHEL 7 上的 Red Hat JBoss Enterprise Application Platform 7.1.11 (RHSA-2025:9582)	Nessus	Red Hat Local Security Checks	2025/6/25	2025/6/25	high
240509	RHEL 7：Red Hat JBoss Enterprise Application Platform 7.3.14 安全性更新 (重要) (RHSA-2025:9583)	Nessus	Red Hat Local Security Checks	2025/6/25	2025/6/25	high
240506	RHEL 7：RHEL 7 上的 Red Hat JBoss Enterprise Application Platform 7.1.11 (RHSA-2025:9582)	Nessus	Red Hat Local Security Checks	2025/6/25	2025/6/25	high
240506	RHEL 7 : Red Hat JBoss Enterprise Application Platform 7.1.11 on RHEL 7 (RHSA-2025:9582)	Nessus	Red Hat Local Security Checks	2025/6/25	2025/6/25	high
252552	Linux Distros Unpatched Vulnerability : CVE-2023-5379	Nessus	Misc.	2025/8/20	2025/8/20	high

偵測

搜尋 Plugin

high

high

high

high

high

high

high

high

high