遠端 Oracle Linux 8 主機中安裝的套件受到 ELSA-2022-5775 公告中提及的多個弱點影響。

  - golang：net/http：不當清理 Transfer-Encoding 標頭 (CVE-2022-1705)

  - golang：encoding/xml：Decoder.Skip 中的堆疊耗盡弱點 (CVE-2022-28131)

  - golang：compress/gzip：Reader.Read 中的堆疊耗盡弱點 (CVE-2022-30631)

  - golang：encoding/xml：Unmarshal 中的堆疊耗盡弱點 (CVE-2022-30633)

  - golang：encoding/gob：Decoder.Decode 中的堆疊耗盡弱點 (CVE-2022-30635)

  - golang：net/http/httputil：NewSingleHostReverseProxy - 省略 X-Forwarded-For 無法運作 (CVE-2022-32148)

  - golang：go/parser：所有 Parse* 函式中的堆疊耗盡弱點 (CVE-2022-1962)

  - golang：io/fs：Glob 中的堆疊耗盡弱點 (CVE-2022-30630)

  - golang：path/filepath：Glob 中的堆疊耗盡弱點 (CVE-2022-30632)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端 Redhat Enterprise Linux 8 主機上安裝的套件受到 RHSA-2023: 2802 公告中提及的多個弱點影響。

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中的 HTTP/1 用戶端會接受某些無效的 Transfer-Encoding 標頭，如果配合使用的中繼伺服器與也未正確拒絕此無效標頭，則可以觸發 HTTP 要求走私攻擊。(CVE-2022-1705)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，go/parser 中的 Parse 函式存在不受控制的遞回弱點，攻擊者可藉此透過深度巢狀類型或宣告造成堆疊耗盡，進而引致錯誤。(CVE-2022-1962)

  - 在 Go 1.18.6 之前版本和 1.19.1 之前的 1.19.x 版中，攻擊者可在 net/http 中造成拒絕服務，這是因爲如果嚴重錯誤先於關機操作執行，則 HTTP/2 連線可能在關閉期間懸置。(CVE-2022-27664)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/gob 的 Decoder.Decode 中存在不受控制的遞回弱點，攻擊者可藉此透過包含深度巢狀結構的 XML 文件來造成堆疊耗盡，進而引致錯誤。(CVE-2022-28131)

  - Podman 容器引擎中存在附加群組處理不正確問題，這可能導致敏感資訊洩漏或資料修改，但前提是攻擊者可以直接存取受影響的容器 (其中使用附加群組來設定存取權限，並且附加群組能夠在此容器中執行二進位程式碼)。(CVE-2022-2989)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，io/fs 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30630)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，compress/gzip 的 Reader.Read 中存在不受控制的遞回弱點，攻擊者可藉此透過含有大量串連長度為 0 的壓縮檔案的封存造成堆疊耗盡，進而引致錯誤。(CVE-2022-30631)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，path/filepath 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30632)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/xml 的 Unmarshal 中存在不受控制的遞回弱點，攻擊者可藉此透過將 XML 文件解組到具有使用「any」欄位標籤的巢狀欄位的 Go 結構中來造成堆疊耗盡，進而引致錯誤。(CVE-2022-30633)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/gob 的 Decoder.Decode 中存在不受控制的遞回弱點，攻擊者可藉此透過包含深度巢狀結構的訊息來造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30635)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中存在不當暴露用戶端 IP 位址的弱點，藉由使用包含 nil 值的 Request.Header 對應爲 X-Forwarded-For 標頭呼叫 httputil.ReverseProxy.ServeHTTP 可以觸發此弱點，造成 ReverseProxy 將用戶端 IP 設定為 X-Forwarded-For 標頭的值。(CVE-2022-32148)

  - 在 Go 1.17.13 之前版本和 1.18.5 版中，編碼訊息太短可造成 math/big 中的 Float.GobDecode 和 Rat GobDecode 發生錯誤，進而可能導致拒絕服務。(CVE-2022-32189)

  - 攻擊者可在接受 HTTP/2 要求的 Go 伺服器中造成記憶體過度增長。HTTP/2 伺服器連線包含用戶端傳送的 HTTP 標頭金鑰快取。雖然此快取中的項目總數設有上限，但攻擊者如果傳送非常大的金鑰，即可造成伺服器為每個開啟的連線配置大約 64 MiB。(CVE-2022-41717)

  - 在 podman 中發現檢查時間使用時間 (TOCTOU) 缺陷。此問題可能允許惡意使用者在匯出磁碟區時，將磁碟區中的一般檔案取代為符號連結，進而可存取主機檔案系統上的任意檔案。(CVE-2023-0778)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Oracle Linux 9 主機上有一個套件受到 ELSA-2022-8057 公告中提及的多個弱點影響。

  - client_golang 是 Prometheus 中 Go 應用程式的檢測程式庫，client_golang 中的 promhttp 套件可提供有關 HTTP 伺服器和用戶端的工具。在 client_golang 1.11.1 之前版本中，處理使用非標準 HTTP 方法的要求時，HTTP 伺服器容易因無限制的基數而遭受拒絕服務攻擊，並可能耗盡記憶體。如要讓受檢測的軟體受到影響，必須滿足以下條件：使用除「RequestsInFlight」以外的任何「promhttp.InstrumentHandler*」中間件；
    在中介軟體之前，不篩選任何特定方法 (例如 GET)；將具有 `method` 標籤名稱的指標傳遞至我們的中間件；且沒有任何 Firewall/LB/Proxy 篩選出含有未知「method」的要求。
    client_golang 1.11.1 版本包含針對此問題的修補程式。有數種因應措施可用，包括從 InstrumentHandler 使用的計數器/量器移除 `method` 標籤名稱；關閉受影響的 promhttp 處理常式；在 promhttp 處理常式之前新增自訂中間件，以便審查 Go http.Request 提供的要求方法；以及使用設定為僅允許一組有限方法的反向代理伺服器或 Web 應用程式防火牆。(CVE-2022-21698)

  - Grafana 是一個用於監控和觀察的開放原始碼平台。受影響的 Grafana 版本會公開多個未正確處理使用者授權的 API 端點。「/teams/: teamId」將允許經驗證的攻擊者藉由查詢特定的團隊 ID 來檢視非預期的資料。「/teams/: search」將允許經驗證的攻擊者搜尋團隊並查看可用團隊的總數，包括使用者無權存取的團隊。若已啟用 editors_can_admin 旗標，「/teams/: teamId/members」將允許經驗證的攻擊者藉由查詢特定的團隊 ID 來查看非預期的資料。
    建議使用者盡快進行升級。此問題尚無已知的因應措施。
    (CVE-2022-21713)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中存在不當暴露用戶端 IP 位址的弱點，藉由使用包含 nil 值的 Request.Header 對應爲 X-Forwarded-For 標頭呼叫 httputil.ReverseProxy.ServeHTTP 可以觸發此弱點，造成 ReverseProxy 將用戶端 IP 設定為 X-Forwarded-For 標頭的值。(CVE-2022-32148)

  - Grafana 是一個用於監控和觀察的開放原始碼平台。受影響的版本容易受到跨網站要求偽造弱點影響，攻擊者可藉此對經驗證的高權限 Grafana 使用者 (例如 Editor 或 Admin) 掛載跨來源攻擊，進而提升其權限。
    攻擊者可以誘騙經驗證的使用者以具有高權限的新使用者身分邀請攻擊者，以利用此弱點來提升權限。建議使用者盡快進行升級。目前沒有任何因應措施可解決此問題。(CVE-2022-21703)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，path/filepath 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30632)

  - Grafana 是一個用於監控和觀察的開放原始碼平台。在受影響的版本中，若資料來源已啟用「轉送 OAuth 身分」功能，則使用 API 權杖 (並且無其他使用者憑證) 傳送查詢至該資料來源時，程式會轉送最近登入使用者的 OAuth 身分。
    這可允許 API 權杖持有者擷取他們可能原本沒有存取權的資料。此攻擊依賴資料來源支援「轉送 OAuth 身分」功能的 Grafana 執行個體、資料來源已啟用「轉寄 OAuth 身分」功能的 Grafana 執行個體、已啟用 OAuth 的 Grafana 執行個體，以及具有可用 API 金鑰的 Grafana 執行個體。此問題已在 7.5.13、8.3.4 和 CVE-2022-21673 版本中修正。

  - Grafana 是一個用於監控和觀察的開放原始碼平台。在受影響的版本中，攻擊者可透過 Grafana 資料來源或外掛程式 Proxy 提供 HTML 內容，並使用特製連結誘騙使用者造訪此 HTML 頁面，然後執行跨網站指令碼 (XSS) 攻擊。攻擊者可入侵特定 Grafana 執行個體的現有資料來源，或設定其公開服務並指示任何人在自己的 Grafana 執行個體中進行設定。必須符合以下所有條件才會受到影響。針對資料來源 Proxy：將伺服器設定為存取模式並設定 URL 的 Grafana HTTP 型資料來源，攻擊者必須控制提供上述資料來源 URL 的 HTTP 伺服器，而且經驗證的使用者必須點按指向攻擊者所控制的資料來源的特製連結。針對外掛程式 Proxy：設定 URL 的已設定並啓用的 Grafana HTTP 型應用程式外掛程式，攻擊者必須控制提供上述應用程式 URL 的 HTTP 伺服器，而且經驗證的使用者必須點按指向攻擊者所控制的外掛程式的特製連結。針對後端外掛程式資源：攻擊者必須能夠透過特製的連結，將經驗證的使用者導覽至遭入侵的外掛程式。建議使用者升級至修補後的版本。目前沒有任何因應措施可解決此弱點。(CVE-2022-21702)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，io/fs 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30630)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，go/parser 中的 Parse 函式存在不受控制的遞回弱點，攻擊者可藉此透過深度巢狀類型或宣告造成堆疊耗盡，進而引致錯誤。(CVE-2022-1962)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，compress/gzip 的 Reader.Read 中存在不受控制的遞回弱點，攻擊者可藉此透過含有大量串連長度為 0 的壓縮檔案的封存造成堆疊耗盡，進而引致錯誤。(CVE-2022-30631)

  - @braintree/sanitize-url 套件的 6.0.0 之前版本容易受到跨網站指令碼 (XSS) 攻擊，這是因為 sanitizeUrl 函式存在清理不當問題。(CVE-2021-23648)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中的 HTTP/1 用戶端會接受某些無效的 Transfer-Encoding 標頭，如果配合使用的中繼伺服器與也未正確拒絕此無效標頭，則可以觸發 HTTP 要求走私攻擊。(CVE-2022-1705)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/gob 的 Decoder.Decode 中存在不受控制的遞回弱點，攻擊者可藉此透過包含深度巢狀結構的訊息來造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30635)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/xml 的 Unmarshal 中存在不受控制的遞回弱點，攻擊者可藉此透過將 XML 文件解組到具有使用「any」欄位標籤的巢狀欄位的 Go 結構中來造成堆疊耗盡，進而引致錯誤。(CVE-2022-30633)

  - 在 Go 1.17.12 之前版本以及 1.18.4 之前的 1.18.x 版中，透過深度巢狀 XML 文件可造成 encoding/xml 中的 Decoder.Skip 發生堆疊耗盡和錯誤。(CVE-2022-28131)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 go-rpm-macros 版本低於 3.0.15-23。因此，會受到 ALAS2-2022-1863 公告中所提及的多個弱點影響。

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中的 HTTP/1 用戶端會接受某些無效的 Transfer-Encoding 標頭，如果配合使用的中繼伺服器與也未正確拒絕此無效標頭，則可以觸發 HTTP 要求走私攻擊。(CVE-2022-1705)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，go/parser 中的 Parse 函式存在不受控制的遞回弱點，攻擊者可藉此透過深度巢狀類型或宣告造成堆疊耗盡，進而引致錯誤。(CVE-2022-1962)

  - 在 v3.8.0 之前的 GitHub 存放庫 emicklei/go-restful 中，透過使用者控制的金鑰可以繞過授權。
    (CVE-2022-1996)

  - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，encoding/pem 允許透過大量 PEM 資料造成解碼堆疊溢位問題。(CVE-2022-24675)

  - 適用於 Go 的 golang.org/x/crypto/ssh 套件 0.0.0-20220314234659-1baeb1ce4c0b 之前版本在涉及 AddHostKey 的某些情況下允許攻擊者造成伺服器當機。(CVE-2022-27191)

  - 在 Go 1.18.6 之前版本和 1.19.1 之前的 1.19.x 版中，攻擊者可在 net/http 中造成拒絕服務，這是因爲如果嚴重錯誤先於關機操作執行，則 HTTP/2 連線可能在關閉期間懸置。(CVE-2022-27664)

  - 在 Go 1.17.12 之前版本以及 1.18.4 之前的 1.18.x 版中，透過深度巢狀 XML 文件可造成 encoding/xml 中的 Decoder.Skip 發生堆疊耗盡和錯誤。(CVE-2022-28131)

  - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，crypto/elliptic 的一般 P-256 特徵允許透過長純量輸入造成錯誤。(CVE-2022-28327)

  - 在 Go 1.17.10 之前版本和 1.18.2 之前的 1.18.x 版本中具有不正確的權限指派。使用非零旗標參數呼叫時，Faccessat 函式可能會錯誤報告檔案可供存取。
    (CVE-2022-29526)

  - 在 Go 1.17.11 之前版本和 1.18.3 版本中，crypto/tls 爲工作階段票證中的 ticket_age_add 使用非隨機值，因此，可觀察 TLS 交握的攻擊者能夠透過在工作階段恢復期間比較票證期限來關聯連續的連線。(CVE-2022-30629)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，io/fs 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30630)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，compress/gzip 的 Reader.Read 中存在不受控制的遞回弱點，攻擊者可藉此透過含有大量串連長度為 0 的壓縮檔案的封存造成堆疊耗盡，進而引致錯誤。(CVE-2022-30631)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，path/filepath 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30632)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/xml 的 Unmarshal 中存在不受控制的遞回弱點，攻擊者可藉此透過將 XML 文件解組到具有使用「any」欄位標籤的巢狀欄位的 Go 結構中來造成堆疊耗盡，進而引致錯誤。(CVE-2022-30633)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/gob 的 Decoder.Decode 中存在不受控制的遞回弱點，攻擊者可藉此透過包含深度巢狀結構的訊息來造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30635)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中存在不當暴露用戶端 IP 位址的弱點，藉由使用包含 nil 值的 Request.Header 對應爲 X-Forwarded-For 標頭呼叫 httputil.ReverseProxy.ServeHTTP 可以觸發此弱點，造成 ReverseProxy 將用戶端 IP 設定為 X-Forwarded-For 標頭的值。(CVE-2022-32148)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

因此，會受到 ALAS2-2022-1858 公告中所提及的多個弱點影響。

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中的 HTTP/1 用戶端會接受某些無效的 Transfer-Encoding 標頭，如果配合使用的中繼伺服器與也未正確拒絕此無效標頭，則可以觸發 HTTP 要求走私攻擊。(CVE-2022-1705)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，go/parser 中的 Parse 函式存在不受控制的遞回弱點，攻擊者可藉此透過深度巢狀類型或宣告造成堆疊耗盡，進而引致錯誤。(CVE-2022-1962)

  - 在 v3.8.0 之前的 GitHub 存放庫 emicklei/go-restful 中，透過使用者控制的金鑰可以繞過授權。
    (CVE-2022-1996)

  - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，encoding/pem 允許透過大量 PEM 資料造成解碼堆疊溢位問題。(CVE-2022-24675)

  - 適用於 Go 的 golang.org/x/crypto/ssh 套件 0.0.0-20220314234659-1baeb1ce4c0b 之前版本在涉及 AddHostKey 的某些情況下允許攻擊者造成伺服器當機。(CVE-2022-27191)

  - 在 Go 1.18.6 之前版本和 1.19.1 之前的 1.19.x 版中，攻擊者可在 net/http 中造成拒絕服務，這是因爲如果嚴重錯誤先於關機操作執行，則 HTTP/2 連線可能在關閉期間懸置。(CVE-2022-27664)

  - 在 Go 1.17.12 之前版本以及 1.18.4 之前的 1.18.x 版中，透過深度巢狀 XML 文件可造成 encoding/xml 中的 Decoder.Skip 發生堆疊耗盡和錯誤。(CVE-2022-28131)

  - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，crypto/elliptic 的一般 P-256 特徵允許透過長純量輸入造成錯誤。(CVE-2022-28327)

  - 在 Go 1.17.10 之前版本和 1.18.2 之前的 1.18.x 版本中具有不正確的權限指派。使用非零旗標參數呼叫時，Faccessat 函式可能會錯誤報告檔案可供存取。
    (CVE-2022-29526)

  - 在 Go 1.17.11 之前版本和 1.18.3 版本中，crypto/tls 爲工作階段票證中的 ticket_age_add 使用非隨機值，因此，可觀察 TLS 交握的攻擊者能夠透過在工作階段恢復期間比較票證期限來關聯連續的連線。(CVE-2022-30629)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，io/fs 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30630)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，compress/gzip 的 Reader.Read 中存在不受控制的遞回弱點，攻擊者可藉此透過含有大量串連長度為 0 的壓縮檔案的封存造成堆疊耗盡，進而引致錯誤。(CVE-2022-30631)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，path/filepath 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30632)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/xml 的 Unmarshal 中存在不受控制的遞回弱點，攻擊者可藉此透過將 XML 文件解組到具有使用「any」欄位標籤的巢狀欄位的 Go 結構中來造成堆疊耗盡，進而引致錯誤。(CVE-2022-30633)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/gob 的 Decoder.Decode 中存在不受控制的遞回弱點，攻擊者可藉此透過包含深度巢狀結構的訊息來造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30635)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中存在不當暴露用戶端 IP 位址的弱點，藉由使用包含 nil 值的 Request.Header 對應爲 X-Forwarded-For 標頭呼叫 httputil.ReverseProxy.ServeHTTP 可以觸發此弱點，造成 ReverseProxy 將用戶端 IP 設定為 X-Forwarded-For 標頭的值。(CVE-2022-32148)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

因此，會受到 ALAS2-2022-1865 公告中所提及的多個弱點影響。

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中的 HTTP/1 用戶端會接受某些無效的 Transfer-Encoding 標頭，如果配合使用的中繼伺服器與也未正確拒絕此無效標頭，則可以觸發 HTTP 要求走私攻擊。(CVE-2022-1705)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，go/parser 中的 Parse 函式存在不受控制的遞回弱點，攻擊者可藉此透過深度巢狀類型或宣告造成堆疊耗盡，進而引致錯誤。(CVE-2022-1962)

  - 在 v3.8.0 之前的 GitHub 存放庫 emicklei/go-restful 中，透過使用者控制的金鑰可以繞過授權。
    (CVE-2022-1996)

  - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，encoding/pem 允許透過大量 PEM 資料造成解碼堆疊溢位問題。(CVE-2022-24675)

  - 適用於 Go 的 golang.org/x/crypto/ssh 套件 0.0.0-20220314234659-1baeb1ce4c0b 之前版本在涉及 AddHostKey 的某些情況下允許攻擊者造成伺服器當機。(CVE-2022-27191)

  - 在 Go 1.18.6 之前版本和 1.19.1 之前的 1.19.x 版中，攻擊者可在 net/http 中造成拒絕服務，這是因爲如果嚴重錯誤先於關機操作執行，則 HTTP/2 連線可能在關閉期間懸置。(CVE-2022-27664)

  - 在 Go 1.17.12 之前版本以及 1.18.4 之前的 1.18.x 版中，透過深度巢狀 XML 文件可造成 encoding/xml 中的 Decoder.Skip 發生堆疊耗盡和錯誤。(CVE-2022-28131)

  - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，crypto/elliptic 的一般 P-256 特徵允許透過長純量輸入造成錯誤。(CVE-2022-28327)

  - 在 Go 1.17.10 之前版本和 1.18.2 之前的 1.18.x 版本中具有不正確的權限指派。使用非零旗標參數呼叫時，Faccessat 函式可能會錯誤報告檔案可供存取。
    (CVE-2022-29526)

  - 在 Go 1.17.11 之前版本和 1.18.3 版本中，crypto/tls 爲工作階段票證中的 ticket_age_add 使用非隨機值，因此，可觀察 TLS 交握的攻擊者能夠透過在工作階段恢復期間比較票證期限來關聯連續的連線。(CVE-2022-30629)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，io/fs 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30630)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，compress/gzip 的 Reader.Read 中存在不受控制的遞回弱點，攻擊者可藉此透過含有大量串連長度為 0 的壓縮檔案的封存造成堆疊耗盡，進而引致錯誤。(CVE-2022-30631)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，path/filepath 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30632)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/xml 的 Unmarshal 中存在不受控制的遞回弱點，攻擊者可藉此透過將 XML 文件解組到具有使用「any」欄位標籤的巢狀欄位的 Go 結構中來造成堆疊耗盡，進而引致錯誤。(CVE-2022-30633)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/gob 的 Decoder.Decode 中存在不受控制的遞回弱點，攻擊者可藉此透過包含深度巢狀結構的訊息來造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30635)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中存在不當暴露用戶端 IP 位址的弱點，藉由使用包含 nil 值的 Request.Header 對應爲 X-Forwarded-For 標頭呼叫 httputil.ReverseProxy.ServeHTTP 可以觸發此弱點，造成 ReverseProxy 將用戶端 IP 設定為 X-Forwarded-For 標頭的值。(CVE-2022-32148)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Oracle Linux 8 主機中安裝的套件受到 ELSA-2022-23681 公告中提及的多個弱點影響。

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中的 HTTP/1 用戶端會接受某些無效的 Transfer-Encoding 標頭，如果配合使用的中繼伺服器與也未正確拒絕此無效標頭，則可以觸發 HTTP 要求走私攻擊。(CVE-2022-1705)

  - 在 Go 1.17.12 之前版本以及 1.18.4 之前的 1.18.x 版中，透過深度巢狀 XML 文件可造成 encoding/xml 中的 Decoder.Skip 發生堆疊耗盡和錯誤。(CVE-2022-28131)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，compress/gzip 的 Reader.Read 中存在不受控制的遞回弱點，攻擊者可藉此透過含有大量串連長度為 0 的壓縮檔案的封存造成堆疊耗盡，進而引致錯誤。(CVE-2022-30631)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/xml 的 Unmarshal 中存在不受控制的遞回弱點，攻擊者可藉此透過將 XML 文件解組到具有使用「any」欄位標籤的巢狀欄位的 Go 結構中來造成堆疊耗盡，進而引致錯誤。(CVE-2022-30633)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/gob 的 Decoder.Decode 中存在不受控制的遞回弱點，攻擊者可藉此透過包含深度巢狀結構的訊息來造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30635)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中存在不當暴露用戶端 IP 位址的弱點，藉由使用包含 nil 值的 Request.Header 對應爲 X-Forwarded-For 標頭呼叫 httputil.ReverseProxy.ServeHTTP 可以觸發此弱點，造成 ReverseProxy 將用戶端 IP 設定為 X-Forwarded-For 標頭的值。(CVE-2022-32148)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，go/parser 中的 Parse 函式存在不受控制的遞回弱點，攻擊者可藉此透過深度巢狀類型或宣告造成堆疊耗盡，進而引致錯誤。(CVE-2022-1962)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，io/fs 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30630)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，path/filepath 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30632)

  - 在 Go 1.17.13 之前版本和 1.18.5 版中，編碼訊息太短可造成 math/big 中的 Float.GobDecode 和 Rat GobDecode 發生錯誤，進而可能導致拒絕服務。(CVE-2022-32189)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 CentOS Linux 8 主機上安裝的套件受到 CESA-2023: 2758 公告中提及的多個弱點影響。

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中的 HTTP/1 用戶端會接受某些無效的 Transfer-Encoding 標頭，如果配合使用的中繼伺服器與也未正確拒絕此無效標頭，則可以觸發 HTTP 要求走私攻擊。(CVE-2022-1705)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，go/parser 中的 Parse 函式存在不受控制的遞回弱點，攻擊者可藉此透過深度巢狀類型或宣告造成堆疊耗盡，進而引致錯誤。(CVE-2022-1962)

  - 在 Go 1.18.6 之前版本和 1.19.1 之前的 1.19.x 版中，攻擊者可在 net/http 中造成拒絕服務，這是因爲如果嚴重錯誤先於關機操作執行，則 HTTP/2 連線可能在關閉期間懸置。(CVE-2022-27664)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/gob 的 Decoder.Decode 中存在不受控制的遞回弱點，攻擊者可藉此透過包含深度巢狀結構的 XML 文件來造成堆疊耗盡，進而引致錯誤。(CVE-2022-28131)

  - 在 Go 1.17.11 之前版本和 1.18.3 版本中，crypto/tls 爲工作階段票證中的 ticket_age_add 使用非隨機值，因此，可觀察 TLS 交握的攻擊者能夠透過在工作階段恢復期間比較票證期限來關聯連續的連線。(CVE-2022-30629)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，io/fs 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30630)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，compress/gzip 的 Reader.Read 中存在不受控制的遞回弱點，攻擊者可藉此透過含有大量串連長度為 0 的壓縮檔案的封存造成堆疊耗盡，進而引致錯誤。(CVE-2022-30631)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，path/filepath 的 Glob 中存在不受控制的遞回弱點，攻擊者可藉此透過包含大量路徑分隔符號的路徑造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30632)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/xml 的 Unmarshal 中存在不受控制的遞回弱點，攻擊者可藉此透過將 XML 文件解組到具有使用「any」欄位標籤的巢狀欄位的 Go 結構中來造成堆疊耗盡，進而引致錯誤。(CVE-2022-30633)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，encoding/gob 的 Decoder.Decode 中存在不受控制的遞回弱點，攻擊者可藉此透過包含深度巢狀結構的訊息來造成堆疊耗盡，進而引致錯誤。
    (CVE-2022-30635)

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，net/http 中存在不當暴露用戶端 IP 位址的弱點，藉由使用包含 nil 值的 Request.Header 對應爲 X-Forwarded-For 標頭呼叫 httputil.ReverseProxy.ServeHTTP 可以觸發此弱點，造成 ReverseProxy 將用戶端 IP 設定為 X-Forwarded-For 標頭的值。(CVE-2022-32148)

  - 在 Go 1.17.13 之前版本和 1.18.5 版中，編碼訊息太短可造成 math/big 中的 Float.GobDecode 和 Rat GobDecode 發生錯誤，進而可能導致拒絕服務。(CVE-2022-32189)

  - 攻擊者可在接受 HTTP/2 要求的 Go 伺服器中造成記憶體過度增長。HTTP/2 伺服器連線包含用戶端傳送的 HTTP 標頭金鑰快取。雖然此快取中的項目總數設有上限，但攻擊者如果傳送非常大的金鑰，即可造成伺服器為每個開啟的連線配置大約 64 MiB。(CVE-2022-41717)

  - 在 podman 中發現檢查時間使用時間 (TOCTOU) 缺陷。此問題可能允許惡意使用者在匯出磁碟區時，將磁碟區中的一般檔案取代為符號連結，進而可存取主機檔案系統上的任意檔案。(CVE-2023-0778)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

遠端 AlmaLinux 8 主機已安裝受到多個弱點影響的套件如 ALSA-2023:2802 公告中所提及。

    * golangnet/http不當清理 Transfer-Encoding 標頭 (CVE-2022-1705)
    * golanggo/parser所有 Parse* 函式中的堆疊耗盡 (CVE-2022-1962)
    * golangnet/http傳送 GOAWAY 後處理伺服器錯誤 (CVE-2022-27664)
    * golangencoding/xmlDecoder.Skip 中的堆疊耗盡 (CVE-2022-28131)
    * golangio/fsGlob 中的堆疊耗盡 (CVE-2022-30630)
    * golangcompress/gzipReader.Read 中的堆疊耗盡 (CVE-2022-30631)
    * golang路徑/檔案路徑Glob 中的堆疊耗盡 (CVE-2022-30632)
    * golangencoding/xmlUnmarshal 中的堆疊耗盡 (CVE-2022-30633)
    * golangencoding/gobDecoder.Decode 中的堆疊耗盡 (CVE-2022-30635)
    * golang: net/http/httputilNewSingleHostReverseProxy - 省略 X-Forwarded-For 沒有作用 (CVE-2022-32148)
    * golangnet/httpGo 伺服器在接受 HTTP/2 要求時記憶體過度增長 (CVE-2022-41717)
    * podmanpodman 匯出磁碟區中的符號連結交換攻擊 (CVE-2023-0778)
    * podman潛在的資訊洩漏和修改 (CVE-2022-2989)
    * golangmath/big如果編碼訊息太短解碼 big.Float 和 big.Rat 類型會發生錯誤進而可能允許拒絕服務 (CVE-2022-32189)

Tenable 已直接從 AlmaLinux 安全性公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 CentOS Linux 9 主機上安裝的一個套件受到 grafana-9.0.9-1.el9 版本變更記錄中提及的多個弱點影響。

  - XSS (CVE-2021-23648)

  - Grafana 是一個開放原始碼資料視覺化平台。在受影響的版本中，未經驗證和經驗證的使用者可透過存取文字路徑，檢視具有最低資料庫金鑰的快照：/dashboard/snapshot/:key, or /api/snapshots/:key。如果快照 public_mode 組態設定設為 true (而預設為 false)，則未經驗證的使用者可透過存取文字路徑，刪除具有最低資料庫金鑰的快照：/api/snapshots-delete/:deleteKey。無論快照 public_mode 組態設定為何，經驗證的使用者皆可透過存取文字路徑，刪除具有最低資料庫金鑰的快照：/api/snapshots/:key, or /api/snapshots-delete/:deleteKey。結合執行刪除和檢視，可在導致完整快照資料遺失的同時，完整瀏覽所有快照資料。此問題已在 8.1.6 和 7.5.11 版中獲得解決。如果由於某種原因您無法升級，則可以使用反向代理伺服器或類似工具來封鎖對文字路徑的存取：
    /api/snapshots/:key、/api/snapshots-delete/:deleteKey、/dashboard/snapshot/:key 和 /api/snapshots/:key。
    它們未設正常函式，停用後不會產生副作用。(CVE-2021-39226)

  - *.md 檔案存在目錄遊走弱點 (CVE-2021-43813)

  - net/http：限制標頭正準化快取的增長 (CVE-2021-44716)

  - net/http：不當清理 Transfer-Encoding 標頭 (CVE-2022-1705)

  - go/parser：所有 Parse* 函式中的堆疊耗盡弱點 (CVE-2022-1962)

  - Forward OAuth Identity Token 允許使用者存取某些資料來源 (CVE-2022-21673)

  - client_golang 是 Prometheus 中 Go 應用程式的檢測程式庫，client_golang 中的 promhttp 套件可提供有關 HTTP 伺服器和用戶端的工具。在 client_golang 1.11.1 之前版本中，處理使用非標準 HTTP 方法的要求時，HTTP 伺服器容易因無限制的基數而遭受拒絕服務攻擊，並可能耗盡記憶體。如要讓受檢測的軟體受到影響，必須滿足以下條件：使用除「RequestsInFlight」以外的任何「promhttp.InstrumentHandler*」中間件；
    在中介軟體之前，不篩選任何特定方法 (例如 GET)；將具有 `method` 標籤名稱的指標傳遞至我們的中間件；且沒有任何 Firewall/LB/Proxy 篩選出含有未知「method」的要求。
    client_golang 1.11.1 版本包含針對此問題的修補程式。有數種因應措施可用，包括從 InstrumentHandler 使用的計數器/量器移除 `method` 標籤名稱；關閉受影響的 promhttp 處理常式；在 promhttp 處理常式之前新增自訂中間件，以便審查 Go http.Request 提供的要求方法；以及使用設定為僅允許一組有限方法的反向代理伺服器或 Web 應用程式防火牆。(CVE-2022-21698)

  - 資料來源處理中的 XSS 弱點 (CVE-2022-21702)

  - CSRF 弱點可導致權限提升 (CVE-2022-21703)

  - IDOR 弱點可導致資訊洩漏 (CVE-2022-21713)

  - encoding/xml：Decoder.Skip 中的堆疊耗盡弱點 (CVE-2022-28131)

  - io/fs：Glob 中的堆疊耗盡弱點 (CVE-2022-30630)

  - compress/gzip：Reader.Read 中的堆疊耗盡弱點 (CVE-2022-30631)

  - path/filepath：Glob 中的堆疊耗盡弱點 (CVE-2022-30632)

  - encoding/xml：Unmarshal 中的堆疊耗盡弱點 (CVE-2022-30633)

  - encoding/gob：Decoder.Decode 中的堆疊耗盡弱點 (CVE-2022-30635)

  - OAuth 帳戶接管 (CVE-2022-31107)

  - net/http/httputil：NewSingleHostReverseProxy (CVE-2022-32148)

  - 若使用使用驗證代理，權限會從管理員提升至伺服器管理員 (rhbz#2125530) (CVE-2022-35957)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 CentOS Linux 8 主機上安裝的多個套件受到 CESA-2022: 7529 公告中提及的多個弱點影響。

  - golang：net/http：不當清理 Transfer-Encoding 標頭 (CVE-2022-1705)

  - cri-o：存取 kube api 時節點上會發生記憶體耗盡 (CVE-2022-1708)

  - golang：go/parser：所有 Parse* 函式中的堆疊耗盡弱點 (CVE-2022-1962)

  - prometheus/client_golang：使用 InstrumentHandlerCounter 的拒絕服務 (CVE-2022-21698)

  - golang：encoding/xml：Decoder.Skip 中的堆疊耗盡弱點 (CVE-2022-28131)

  - golang：io/fs：Glob 中的堆疊耗盡弱點 (CVE-2022-30630)

  - golang：compress/gzip：Reader.Read 中的堆疊耗盡弱點 (CVE-2022-30631)

  - golang：path/filepath：Glob 中的堆疊耗盡弱點 (CVE-2022-30632)

  - golang：encoding/xml：Unmarshal 中的堆疊耗盡弱點 (CVE-2022-30633)

  - golang：net/http/httputil：NewSingleHostReverseProxy - 省略 X-Forwarded-For 無法運作 (CVE-2022-32148)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 在 Go 1.17.12 之前版本和 Go 1.18.4 版中，go/parser 中的 Parse 函式存在不受控制的遞回弱點，攻擊者可藉此透過深度巢狀類型或宣告造成堆疊耗盡，進而引致錯誤。(CVE-2022-1962)

請注意，Nessus 依賴供應商報告的套件存在。

遠端主機上安裝的 Splunk 版本低於測試版本。因此，它會受到 SVD-2023-0808 公告中提及的一個弱點影響。

  - 使用 cgo 時，go 命令可能會在構建時執行任意程式碼。在惡意模組上執行 go get 時，或執行構建未受信任程式碼的任何其他命令時，可能會發生這種情況。這可以由透過 #cgo LDFLAGS 指示詞指定的連結器旗標觸發。未正確處理包含內嵌空格的旗標，進而允許透過 LDFLAGS 清理將不允許的旗標包含在另一個旗標的引數中。這會影響 gccgo 編譯器的使用。(CVE-2023-29405)

  - curl 7.84.0 之前版本將 cookie、alt-svc 和 hsts 資料儲存到本機檔案時，會透過將暫存名稱重新命名為最終目標檔案名稱來完成作業，從而使此作業成爲原子型作業。在此重新命名作業中，它可能會意外*放寬*針對目標檔案的權限，讓更多使用者可存取更新後的檔案。(CVE-2022-32207)

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

  - Node.js 12.1.0 之前版本的 got 套件 (也已經在 11.8.5 中得到修正) 允許重新導向至 UNIX 通訊端。
    (CVE-2022-33987)

  - 在 webpack loader-utils 中，透過 parseQuery.js 中的名稱變數，可在 parseQuery.js 的 parseQuery 函式中造成原型污染弱點。1.4.1 之前的所有版本和 2.0.3 版本會受到此弱點影響。(CVE-2022-37601)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2024:0778 公告中提及的多個弱點影響。

  - google-oauth-client：缺少符合 RFC for OAuth 2.0 之 Native Apps 的 PKCE 支援可導致不當授權 (CVE-2020-7692)

  - maven：依預設封鎖使用 http 的存放庫 (CVE-2021-26291)

  - golang：所有 Parse* 函式中的堆疊耗盡弱點 (CVE-2022-1962)

  - snakeyaml：因遺漏集合的巢狀深度限制而導致拒絕服務 (CVE-2022-25857)

  - maven-shared-utils：透過命令列類別命令插入 (CVE-2022-29599)

  - apache-commons-text：變數內插 RCE (CVE-2022-42889)

  - guava：不安全的暫存目錄建立方式 (CVE-2023-2976)

  - springframework：Spring 運算式 DoS 弱點 (CVE-2023-20861)

  - spring-security：登出時未正確儲存空白的 SecurityContext (CVE-2023-20862)

  - jenkins-2-plugins/script-security：Jenkins 指令碼安全性 Plugin 中的沙箱繞過弱點 (CVE-2023-24422)

  - jenkins-2-plugins/JUnit：JUnit Plugin 中的已儲存 XSS 弱點 (CVE-2023-25761)

  - jenkins-2-plugins/pipeline-build-step：Pipeline: Build Step 外掛程式中的已儲存 XSS 弱點 (CVE-2023-25762)

  - jetty-server：讀取沒有檔案名稱的大型 multipart 時 request.getParameter() 會發生記憶體不足錯誤 (CVE-2023-26048)

  - jetty-server：引用值的 Cookie 剖析可從洩漏其他 Cookie 中的值 (CVE-2023-26049)

  - Jenkins：使用不安全的權限建立暫存檔案參數 (CVE-2023-27903)

  - Jenkins：與代理程式相關的錯誤堆疊追踪導致資訊洩漏 (CVE-2023-27904)

  - Jenkins：OpenShift Login 外掛程式中的開放重新導向弱點 (CVE-2023-37947)

  - jetty：不當驗證 HTTP/1 content-length (CVE-2023-40167)

  - jenkins-plugins: cloudbees-folder：Folders 外掛程式中的 CSRF 弱點 (CVE-2023-40337)

  - jenkins-plugins: cloudbees-folder：Folders 外掛程式中的資料洩露弱點 (CVE-2023-40338)

  - jenkins-plugins: config-file-provider：不當遮罩 Config File Provider 外掛程式中的認證 (CVE-2023-40339)

  - jenkins-plugins: blueocean：BlueOcean 外掛程式中的 CSRF 弱點允許擷取認證 (CVE-2023-40341)

  - jenkins：透過 CLI 的任意檔案讀取弱點可導致 RCE (CVE-2024-23897)

  - jenkins：跨網站 WebSocket 劫持 (CVE-2024-23898)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
163810	Oracle Linux 8：go-toolset: ol8 (ELSA-2022-5775)	Nessus	Oracle Linux Local Security Checks	2022/8/4	2024/11/1	medium
175871	RHEL 8：container-tools：4.0 (RHSA-2023: 2802)	Nessus	Red Hat Local Security Checks	2023/5/16	2025/3/6	high
168119	Oracle Linux 9：grafana (ELSA-2022-8057)	Nessus	Oracle Linux Local Security Checks	2022/11/22	2024/10/22	high
166407	Amazon Linux 2：go-rpm-macros (ALAS-2022-1863)	Nessus	Amazon Linux Local Security Checks	2022/10/21	2024/12/11	medium
166409	Amazon Linux 2：golang-github-godbus-dbus (ALAS-2022-1858)	Nessus	Amazon Linux Local Security Checks	2022/10/21	2024/12/11	medium
166410	Amazon Linux 2：golang-github-syndtr-gocapability (ALAS-2022-1865)	Nessus	Amazon Linux Local Security Checks	2022/10/21	2024/12/11	medium
167054	Oracle Linux 8：ol8addon (ELSA-2022-23681)	Nessus	Oracle Linux Local Security Checks	2022/11/7	2024/11/2	medium
176149	CentOS 8：container-tools：rhel8 (CESA-2023: 2758)	Nessus	CentOS Local Security Checks	2023/5/20	2024/2/8	medium
176117	AlmaLinux 8 : container-tools:4.0 (ALSA-2023:2802)	Nessus	Alma Linux Local Security Checks	2023/5/19	2025/1/13	high
191236	CentOS 9：grafana-9.0.9-1.el9	Nessus	CentOS Local Security Checks	2024/2/29	2024/4/26	high
167185	CentOS 8：container-tools：3.0 (CESA-2022: 7529)	Nessus	CentOS Local Security Checks	2022/11/9	2023/10/5	medium
229731	Linux Distros 未修補弱點：CVE-2022-1962	Nessus	Misc.	2025/3/5	2025/8/18	medium
194928	Splunk Enterprise 8.2.0 < 8.2.12、9.0.0 < 9.0.6、9.1.0 < 9.1.1 (SVD-2023-0808)	Nessus	CGI abuses	2024/5/2	2024/7/29	critical
194435	RHEL 8：Jenkins and Jenkins-2-plugins (RHSA-2024:0778)	Nessus	Red Hat Local Security Checks	2024/4/29	2024/11/7	critical

偵測

搜尋 Plugin

medium

high

high

medium

medium

medium

medium

medium

high

high

medium

medium

critical

critical