根據其標題，遠端主機上執行的 lighttpd 版本比 1.4.36 舊。因此，它會受到 mod_auth 弱點影響，此弱點允許遠端攻擊者透過沒有冒號字元的基本 HTTP 驗證字串，插入任意記錄項目，包含 NULL 及新行字元的字串即為一例。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

最新的上游安全性版本：

http://www.lighttpd.net/2015/7/26/1.4.36/

請注意，Tenable Network Security 已直接從 Fedora 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

根據其標題，遠端主機上執行的 lighttpd 版本比 1.4.36 舊。因此，會受到以下弱點影響：- 1.4.36 之前的 lighttpd 中的 mod_auth 允許遠端攻擊者透過沒有冒號字元的基本 HTTP 驗證字串，插入任意記錄項目，包含 NULL 及新行字元的字串即為一例。請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

MITRE 報告：

1.4.36 之前的 lighttpd 中的 mod_auth 允許遠端攻擊者透過沒有冒號字元的基本 HTTP 驗證字串，插入任意記錄項目，包含 NULL 及新行字元的字串即為一例。

遠端 Ubuntu 16.04 ESM / 18.04 ESM 主機上安裝的多個套件受到 USN-4775-1 公告中提及的多個弱點影響。

  - 1.4.36 之前的 lighttpd 中的 mod_auth 允許遠端攻擊者透過沒有冒號字元的基本 HTTP 驗證字串，插入任意記錄項目，包含 NULL 及新行字元的字串即為一例。(CVE-2015-3200)

  - 在早於 1.4.50 的 lighttpd 版本的 mod_alias.c 的 mod_alias_physical_handler 內發現一個問題。在別名目標上方，單一目錄有個包含特定 mod_alias 組態的潛在 ../ 路徑周遊，其中比對的別名結尾缺少 ‘/’ 字元，但別名目標檔案系統路徑結尾有一個 ‘/’ 字元。(CVE-2018-19052)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
112359	lighttpd < 1.4.36 mod_auth 任意記錄項目插入	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	high
85289	Fedora 21 : lighttpd-1.4.36-1.fc21 (2015-12250)	Nessus	Fedora Local Security Checks	2015/8/10	2021/1/11	high
106627	lighttpd < 1.4.36 多個弱點	Nessus	Web Servers	2018/2/6	2020/4/27	high
85319	FreeBSD : lighttpd -- mod_auth 中的記錄插入弱點 (dd7f29cc-3ee9-11e5-93ad-002590263bf5)	Nessus	FreeBSD Local Security Checks	2015/8/11	2021/1/6	high
183126	Ubuntu 16.04 ESM / 18.04 ESM：Lighttpd 多個弱點 (USN-4775-1)	Nessus	Ubuntu Local Security Checks	2023/10/16	2023/10/16	high
85290	Fedora 22 : lighttpd-1.4.36-1.fc22 (2015-12252)	Nessus	Fedora Local Security Checks	2015/8/10	2021/1/11	high

偵測

搜尋 Plugin

high

high

high

high

high

high