Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Apache Tomcat 的 GCI Servlet 中存在大小写敏感性处理不当漏洞，这使得安全约束无法应用于映射到 CGI Servlet 的 URI 的 pathInfo 组件，从而绕过安全约束。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。建议用户升级至已修复该问题的版本 11.0.7、10.1.41 或 9.0.105。(CVE-2025-46701)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

因此，该程序受到 ALAS2023-2025-1031 公告中提及的一个漏洞影响。

    不当处理Apache Tomcat 的 GCI servlet 中的区分大小写漏洞允许绕过安全限制这些安全限制适用于映射到 CGI servlet 的 URI 的 pathInfo 组件。

    此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。

    建议用户升级到已修复此问题的 11.0.7、10.1.41 或 9.0.105 版本。
    (CVE-2025-46701)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Debian 11 主机上安装的多个程序包受到 dla-4244 公告中提及的多个漏洞影响。

    ------------------------------------------------------------------------- Debian LTS 公告 DLA-4244-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Markus Koschany 2025 年 7 月 22 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

    程序包 : tomcat9 版本 : 9.0.107-0+deb11u1 CVE ID : CVE-2024-34750 CVE-2024-54677 CVE-2025-31650 CVE-2025-31651 CVE-2025-46701 CVE-2025-48976 CVE-2025-48988 CVE-2025-49125 CVE-2025-52434 CVE-2025-52520 CVE-2025-53506

    在 Java Web 服务器和 servlet 引擎 Tomcat 9 中发现多个安全漏洞。最值得注意的是，本次更新改进了 HTTP/2 连接的处理方式，并修正了可能导致不受控制资源消耗和拒绝服务的多种缺陷。

    对于 Debian 11 bullseye，已在 9.0.107-0+deb11u1 版本中修复这些问题。

    我们建议您升级 tomcat9 程序包。

    如需了解 tomcat9 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/tomcat9

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTSAttachment:signature.ascDescription: 此消息部分已经过数字签署

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

如 JSDSERVER-16311 公告中所述远程主机上运行的 Atlassian Jira Service Management Data Center 和 Server (Jira Service Desk) 版本受到漏洞的影响。

  - Apache Tomcat 的 GCI Servlet 中存在大小写敏感性处理不当漏洞，这使得安全约束无法应用于映射到 CGI Servlet 的 URI 的 pathInfo 组件，从而绕过安全约束。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。建议用户升级至已修复该问题的版本 11.0.7、10.1.41 或 9.0.105。(CVE-2025-46701)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Oracle Database Server 版本受到 2025 年 7 月 CPU 公告中提及的多个漏洞影响。

  - Oracle Database Server 的 Oracle Database 组件中的漏洞。支持的版本中受影响的是 19.3-19.27 和 23.4-23.8。攻击此漏洞的难度较低，具有网络访问权限和 Create Session、Create Procedure 特权的低权限攻击者可利用此漏洞通过 Oracle Net 入侵 Oracle Database。成功利用此漏洞进行攻击可导致接管 Oracle Database。(CVE-2025-30751)

  - Oracle Database Server 的 Java VM 组件中存在漏洞。支持的版本中受影响的是 19.3-19.27 和 21.3-21.18。攻击此漏洞的难度较低，具有网络访问权限和 Create Session、Create Procedure 特权的低权限攻击者可利用此漏洞通过 Oracle Net 入侵 Java VM。
    虽然漏洞位于 Java VM 中，但攻击可能对其他产品造成重大影响（范围更改）。
    成功攻击此漏洞可导致在未经授权的情况下访问重要数据，或完整访问所有可供访问的 Java VM 数据。(CVE-2025-50069)

  - Oracle Database Server 的 Oracle Text (FreeType) 组件中存在漏洞。支持的版本中受影响的是 19.3-19.27、21.3-21.18 和 23.4-23.8。利用此漏洞的难度较大，具有创建会话和创建索引权限并通过 Oracle Net 访问网络的低权限攻击者可利用此漏洞破坏 Oracle Text (FreeType)。成功利用此漏洞进行攻击可导致接管 Oracle Text (FreeType)。(CVE-2025-27363)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Tomcat 版本低于 9.0.105。因此，它受到 fixed_in_apache_tomcat_9.0.105_security-9 公告中提及的一个漏洞影响。

  - Apache Tomcat 的 GCI Servlet 中存在大小写敏感性处理不当漏洞，这使得安全约束无法应用于映射到 CGI Servlet 的 URI 的 pathInfo 组件，从而绕过安全约束。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。建议用户升级至已修复该问题的版本 11.0.7、10.1.41 或 9.0.105。(CVE-2025-46701)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Tomcat 版本低于 10.1.41。因此，它受到 fixed_in_apache_tomcat_10.1.41_security-10 公告中提及的一个漏洞影响。

  - Apache Tomcat 的 GCI Servlet 中存在大小写敏感性处理不当漏洞，这使得安全约束无法应用于映射到 CGI Servlet 的 URI 的 pathInfo 组件，从而绕过安全约束。此问题影响以下 Apache Tomcat 版本：11.0.0-M1 至 11.0.6、10.1.0-M1 至 10.1.40、9.0.0.M1 至 9.0.104。建议用户升级至已修复该问题的版本 11.0.7、10.1.41 或 9.0.105。(CVE-2025-46701)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - Apache Tomcat 的 GCI servlet 中不當處理大小寫弱點允許安全性限制繞過安全性限制，這些限制適用於對應至 CGI servlet 之 URI 的 pathInfo 元件。此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.6 (含)、10.1.0-M1 至 10.1.40 (含)、9.0.0.M1 至 9.0.104 (含)。建議使用者升級至 11.0.7、10.1.41 或 9.0.105 版，即可修正此問題。(CVE-2025-46701)

請注意，Nessus 依賴供應商報告的套件存在。

因此，此版本會受到 ALAS2023-2025-1031 公告中提及的一個弱點影響。

    在 Apache Tomcat 的 GCI servlet 中不當處理大小寫弱點導致安全性限制繞過安全性限制這些限制適用於對應至 CGI servlet 之 URI 的 pathInfo 元件。

    此問題會影響以下版本的 Apache Tomcat：11.0.0-M1 至 11.0.6 (含)、10.1.0-M1 至 10.1.40 (含)、9.0.0.M1 至 9.0.104 (含)。

    建議使用者升級至 11.0.7、10.1.41 或 9.0.105 版，即可修正此問題。
    (CVE-2025-46701)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Debian 11 主機上安裝的多個套件受到 dla-4244 公告中提及的多個弱點影響。

    - ------------------------------------------------- ------------------------------------ Debian LTS 公告 DLA-4244-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Markus Koschany 2025 年 7 月 22 日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

    套件 : tomcat9 版本 : 9.0.107-0+deb11u1 CVE ID : CVE-2024-34750 CVE-2024-54677 CVE-2025-31650 CVE-2025-31651 CVE-2025-46701 CVE-2025-48976 CVE-2025-48988 CVE-2025-49125 CVE-2025-52434 CVE-2025-52520 CVE-2025-53506

    在 Java Web 伺服器和 servlet 引擎 Tomcat 9 中發現多個安全性弱點。最值得注意的是，此次更新改善了 HTTP/2 連線的處理方式，並更正了多個可能導致不受控制資源消耗和拒絕服務的瑕疵。

    針對 Debian 11 bullseye，已在 9.0.107-0+deb11u1 版本中修正這些問題。

    建議您升級 tomcat9 套件。

    如需有關 tomcat9 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
    https://security-tracker.debian.org/tracker/tomcat9

    有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱：https://wiki.debian.org/LTSAttachment:signature.ascDescription: 這是數位簽署的訊息部分

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
246245	Linux Distros 未修补的漏洞：CVE-2025-46701	Nessus	Misc.	2025/8/8	2025/8/8	high
240330	Amazon Linux 2023：tomcat10、tomcat10-admin-webapps、tomcat10-el-5.0-api (ALAS2023-2025-1031)	Nessus	Amazon Linux Local Security Checks	2025/6/23	2025/8/12	medium
242491	Debian dla-4244 : libtomcat9-embed-java - 安全更新	Nessus	Debian Local Security Checks	2025/7/22	2025/7/22	high
243565	Atlassian Jira Service Management Data Center 和 Server 5.12.x < 5.12.24 / 10.3.x < 10.3.7 / 10.6.x < 10.7.0 (JSDSERVER-16311)	Nessus	Misc.	2025/8/5	2025/8/5	high
242296	Oracle Database Server (2025 年 7 月 CPU)	Nessus	Databases	2025/7/18	2025/7/18	high
237498	Apache Tomcat 9.0.0.M1 < 9.0.105	Nessus	Web Servers	2025/5/29	2025/8/12	medium
237499	Apache Tomcat 10.1.0.M1 < 10.1.41	Nessus	Web Servers	2025/5/29	2025/8/12	medium
246245	Linux Distros 未修補的弱點：CVE-2025-46701	Nessus	Misc.	2025/8/8	2025/8/8	high
240330	Amazon Linux 2023：tomcat10、tomcat10-admin-webapps、tomcat10-el-5.0-api (ALAS2023-2025-1031)	Nessus	Amazon Linux Local Security Checks	2025/6/23	2025/8/12	medium
242491	Debian dla-4244 : libtomcat9-embed-java - 安全性更新	Nessus	Debian Local Security Checks	2025/7/22	2025/7/22	high

偵測

搜尋 Plugin

high

medium

high

high

high

medium

medium

high

medium

high