隨附 Apache Log4j 記錄程式庫的 VMWare vRealize Operations Manager 中存在一個遠端程式碼執行弱點。Apache Log4j 中存在弱點，這是由於在處理使用者控制的輸入時，對訊息查閱替換的保護不足所致。未經驗證的遠端攻擊者可利用此弱點，透過 Web 要求以正在執行之 Java 進程的權限級別執行任意程式碼。

此外掛程式要求掃描器和目標計算器皆可存取網際網路。

遠端主機上執行的 Palo Alto Networks PAN-OS for Panorama 版本為早於 9.0.15 的 9.0.x 版、早於 9.1.12-h3 的 9.1.x 版或早於 10.0.8-h8 的 10.0.x 版。因此，其會受到 ElasticSearch 元件中兩個與 Log4Shell 相關的兩個遠端程式碼執行弱點影響。這些弱點允許未經驗證的遠端攻擊者得以在受影響的主機上執行任意程式碼。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

如 cisco-sa-apache-log4j-qRuKNEbd 公告中所述，Cisco UCS Director 受到 Apache Log4j Java 記錄程式庫中的下列重大弱點影響。
    - 在 2.0-beta9 版至 2.12.1 版以及 2.13.0 版至 2.15.0 版的 Apache Log4j2 中，組態、記錄訊息和參數中使用的 JNDI 功能無法防範受攻擊者控制的 LDAP 和其他 JNDI 相關端點。
      若攻擊者能夠控制記錄訊息或記錄訊息參數，則可在啟用訊息查閱替代時，執行從 LDAP 伺服器載入的任意程式碼。自 log4j 2.15.0 開始，此行為已預設為停用。自 2.16.0 版開始，此功能已完全移除。請注意，此弱點是 log4j-core 特有，不會影響 log4net、log4cxx 或其他 Apache Logging Services 專案。(CVE-2021-44228) 請注意，Nessus 尚未測試此問題，而是僅依據應用程式自我報告的版本號碼作為判斷。

遠端 Web 伺服器上執行的 Apache Apereo CAS 版本受到隨附之 Apache Log4j 記錄程式庫中的一個遠端程式碼執行弱點影響。Apache Log4j 中存在弱點，這是由於在處理使用者控制的輸入時，對訊息查閱替換的保護不足所致。未經驗證的遠端攻擊者可利用此弱點，透過 Web 要求以正在執行之 Java 進程的權限級別執行任意程式碼。

此外掛程式要求掃描器和目標計算器皆可存取網際網路。

遠端主機上執行的 Apache Solr 版本至少為 7.4.0 至 7.7.3 或 8.0.0 至 8.11.0 版。因此，它受到遠端程式碼執行弱點影響，這是因為隨附的 Apache Log4J 程式庫版本存在 RCE 弱點。如需瞭解完整影響和其他詳細資訊，請參閱 Log4J 安全性頁面。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

因此，它會受到 ALAS2022-2021-003 公告中提及的一個弱點影響。

    在 Java 記錄程式庫 Apache Log4j 2 從 2.0-beta9 版開始以及 2.14.1 之前版本 (包括該版本) 中發現一個缺陷。如果系統使用攻擊者的 JNDI LDAP 伺服器查閱記錄由攻擊者所控制的字串值，這可允許遠端攻擊者在伺服器上執行程式碼。(CVE-2021-44228)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2025:1747 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.3.12 是 Red Hat JBoss Enterprise Application Platform 7.3.11 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.3.12 版本資訊。

    安全性修正：

    * velocity：攻擊者能夠修改範本時便可執行任意程式碼 [eap-7.3.z] (CVE-2020-13936)

    * CXF：Apache CXF：目錄清單/程式碼洩漏 [eap-7.3.z] (CVE-2022-46363)

    * sshd-common：mina-sshd：Java 不安全的還原序列化弱點 [eap-7.3.z] (CVE-2022-45047)

    * log4j-core：當記錄包含受攻擊者控制的字串值時，Log4j 2.x 中會產生遠端程式碼執行弱點 [eap-7.3.z] (CVE-2021-44228)

    * commons-text：apache-commons-text：變數內插 RCE [eap-7.3.z] (CVE-2022-42889)

    * log4j-core：具有執行緒內容訊息模式和內容查閱模式的 log4j 2.x 中的 DoS 弱點 (CVE-2021-44228 的不完整修正) [eap-7.3.z] (CVE-2021-45046)

    * org.jboss.hal-hal-parent：minimist：原型污染 [eap-7.3.z] (CVE-2021-44906)

    * jackson-databind：使用深層巢狀陣列 [eap-7.3.z] (CVE-2022-42004)

    * snakeyaml：建構函式還原序列化遠端程式碼執行弱點 [eap-7.3.z] (CVE-2022-1471)

    * codec-haproxy：HAProxyMessageDecoder 堆疊耗盡導致的 DoS [eap-7.3.z] (CVE-2022-41881)

    * jackson-databind：深層包裝函式陣列巢狀 wrt UNWRAP_SINGLE_VALUE_ARRAYS [eap-7.3.z] (CVE-2022-42003)

    * jettison：如果 map 中的值是 map 本身，則新的 JSONObject(map) 會造成 StackOverflowError，進而可能導致拒絕服務 [eap-7.3.z] (CVE-2022-45693)

    * h2：主控台中存在遠端程式碼執行弱點 [eap-7.3.z] (CVE-2021-42392)

    如需安全性問題的詳細資料，包括影響、CVSS 評分、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
156932	VMware vRealize Operations Manager Log4Shell 直接檢查 (CVE-2021-44228) (VMSA-2021-0028)	Nessus	Misc.	2022/1/21	2025/7/14	critical
157876	Palo Alto Networks PAN-OS for Panorama < 9.0.15 / 9.1.12-h3 / 10.0.8-h8 多個 RCE (Log4Shell)	Nessus	Palo Alto Local Security Checks	2022/2/10	2023/5/1	critical
161813	Cisco UCS Director Log4j 遠端程式碼執行弱點 (cisco-sa-apache-log4j-qRuKNEbd)	Nessus	CISCO	2022/6/3	2023/2/17	critical
163453	Apache Apereo CAS Log4Shell 直接檢查 (CVE-2021-44228)	Nessus	CGI abuses	2022/7/26	2025/7/14	critical
168496	Apache Solr 7.4.0 <= 7.7.3 / 8.0.0 <= 8.11.0 RCE	Nessus	CGI abuses	2022/12/8	2023/2/17	critical
212468	Amazon Linux 2022：log4j、log4j-jcl、log4j-slf4j (ALAS2022-2021-003)	Nessus	Amazon Linux Local Security Checks	2024/12/11	2024/12/12	critical
216679	RHEL 7：Red Hat JBoss Enterprise Application Platform 7.3.12 (RHSA-2025:1747)	Nessus	Red Hat Local Security Checks	2025/2/24	2025/6/5	high

偵測

搜尋 Plugin

critical

critical

critical

critical

critical

critical

high