ManageEngine ADAudit Plus 7060 之前版本受到 XML 外部實體 (XXE) 弱點影響。未經驗證的遠端攻擊者可利用此弱點，在目標伺服器上上傳序列化的 Java 物件，並透過 `ceworlf` 端點將其還原序列化，進而實現遠端程式碼執行攻擊。

Apache Struts 2.x 至 2.3.15 版允許遠端攻擊者透過包含特製的 'action: ', 'redirect: ', or 'redirectAction: ' 前置詞的參數來執行任意 OGNL 運算式。

此機制旨在協助將導覽資訊附加至表單內的按鈕。

根據標題，遠端 Web 伺服器上執行的 PHP 版本介於 5.6.x 至 5.6.39、7.0.x 至 7.0.33、7.1.x 至 7.1.25、7.2.x 至 7.2.13 或 7.3.x 至 7.3.0 之間。因此會受到多個弱點影響：

 - imap_open 函式中存在任意命令插入弱點，這是因為未正確篩選郵箱名稱便將其傳送至 rsh 或 ssh 命令。經驗證的遠端攻擊者可利用此弱點，透過傳送特製的 IMAP 伺服器名稱，在目標系統上執行任意命令。(CVE-2018-19518)

 - phar_parse_pharfile 函式中存在堆積型緩衝區過度讀取弱點。未經驗證的遠端攻擊者可利用此弱點，在嘗試剖析 .phar 檔案時，讀取實際資料之後已配置或未配置的記憶體。(CVE-2018-20783)

 - Windows 的 NULL 指標解除參照弱點。未經驗證的遠端攻擊者可利用此弱點來造成應用程式損毀，並執行拒絕服務攻擊。(CVE-2018-19395)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

ForgeRock OpenAM 13.5.1 之前版本允許透過 Webfinger 通訊協定或密碼重設功能執行 LDAP 插入。例如，未經驗證的攻擊者可執行密碼雜湊的逐字元擷取，或擷取工作階段權杖或私密金鑰。

遠端主機上安裝的 CraftCMS 版本容易受到動作端點中的遠端程式碼執行 (RCE) 弱點影響。

根據應用程式自我報告的版本號，遠端主機上執行的 Atlassian Bitbucket 應用程式受到命令注入弱點的影響。有權控制使用者名稱的攻擊者可利用此問題，在系統中執行任意程式碼。如果 Bitbucket Server 和 Data Center 執行個體已啟用「允許公開註冊」，則攻擊者未經驗證即可利用此弱點。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

版本低於 10.7.1 以及 11.x < 11.1.0 的 CrushFTP 容易受到「VFS 沙箱逸出」的影響，低權限的遠端攻擊者可藉此從沙箱外的檔案系統讀取檔案。

根據應用程式自我報告的版本號碼，偵測到的 WordPress 應用程式受到下列多個弱點影響：

 - 媒體程式庫中存在 XML 外部實體 (XXE) 弱點，此弱點會影響 PHP 8。

 - REST API 中的資料洩漏弱點。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
113266	ManageEngine ADAudit Plus XML 外部實體	Web App Scanning	Component Vulnerability	2022/7/5	2022/7/5	critical
112741	Apache Struts 2.x < 2.3.15.1 遠端程式碼執行弱點 (S2-016)	Web App Scanning	Component Vulnerability	2021/4/12	2021/9/7	critical
98880	PHP 5.6.x < 5.6.39 多個弱點	Web App Scanning	Component Vulnerability	2019/1/31	2023/6/1	high
98881	PHP 7.0.x < 7.0.33 多個弱點	Web App Scanning	Component Vulnerability	2019/1/31	2023/6/1	high
98883	PHP 7.2.x < 7.2.13 多個弱點	Web App Scanning	Component Vulnerability	2019/1/31	2023/6/1	high
112973	ForgeRock OpenAM LDAP 插入	Web App Scanning	Component Vulnerability	2021/9/13	2021/9/13	high
114030	CraftCMS < 4.4.15 遠端程式碼執行	Web App Scanning	Component Vulnerability	2023/9/20	2023/10/5	critical
113440	Atlassian Bitbucket 7.7.x < 7.17.12 命令插入	Web App Scanning	Component Vulnerability	2022/11/24	2023/3/14	critical
113441	Atlassian Bitbucket 7.18.x < 7.21.6 命令插入	Web App Scanning	Component Vulnerability	2022/11/24	2023/3/14	critical
114273	CrushFTP < 10.7.1/11.x < 11.1.0 VFS 沙箱逸出	Web App Scanning	Component Vulnerability	2024/4/23	2024/4/24	critical
112754	WordPress 5.7.x < 5.7.1 多個弱點	Web App Scanning	Component Vulnerability	2021/4/16	2023/3/14	medium

偵測

搜尋 Plugin

critical

critical

high

high

high

high

critical

critical

critical

critical

medium