遠端 Redhat Enterprise Linux 6 主機上安裝的套件受到 RHSA-2019:0364 公告中提及的多個弱點影響。

  - wildfly-core：JBoss Management Console 中的跨網站指令碼 (XSS) (CVE-2018-10934)

  - undertow：在 Undertow 可以從隨機緩衝區提供資料的某些情況下的資訊洩漏 (CVE-2018-14642)

  - dom4j：Class: Element 中的 XML 注入攻擊。Methods：可影響 XML 文件完整性的 addElement、addAttribute (CVE-2018-1000632)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Ubuntu 16.04 LTS 主機上安裝的一個套件受到 USN-4619-1 公告中所提及的一個弱點影響。

  - 在 dom4j 2.1.1 之前版本中，Class: Element 中存在 CWE-91: XML 插入弱點。
    方法：addElement、addAttribute 可導致攻擊者透過 XML 插入竄改 XML 文件。攻擊者似乎可以透過在 XML 文件中指定屬性或元素來惡意利用此弱點。此弱點似乎已在 2.1.1 或更新版本中修正。(CVE-2018-1000632)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

遠端 Redhat Enterprise Linux 5 主機上安裝的套件受到 RHSA-2019:1159 公告中提及的多個弱點影響。

  - tomcat：WebSocket 用戶端中缺少主機名稱驗證 (CVE-2018-8034)

  - wildfly-core：JBoss Management Console 中的跨網站指令碼 (XSS) (CVE-2018-10934)

  - dom4j：Class: Element 中的 XML 注入攻擊。Methods：可影響 XML 文件完整性的 addElement、addAttribute (CVE-2018-1000632)

請注意，Nessus 並未測試這些問題，而是僅根據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle Siebel CRM 版本受到 2026 年 1 月 CPU 公告中所提及的多個弱點影響。

  - Oracle Siebel CRM 的 Siebel CRM Deployment 產品中的弱點 (元件應用程式介面 (JDOM))。受影響的支援版本是 17.0-25.11。可輕鬆惡意利用的弱點允許具有網路存取權的未經驗證的攻擊者透過 HTTP 來危害 Siebel CRM Deployment。若成功攻擊此弱點可能導致 Siebel CRM Deployment 未經授權即可造成懸置或經常重複性當機 (完全 DOS)。 (CVE-2018-1000632, CVE-2020-10683, CVE-2021-33813)

  - Oracle Siebel CRM 的 Siebel CRM Deployment 產品中的弱點 (元件Server Infrastructure (OpenSSL))。受影響的支援版本是 17.0-25.11。可輕鬆惡意利用的弱點允許具有網路存取權的未經驗證的攻擊者透過 HTTPS 來危害 Siebel CRM Deployment。成功攻擊此弱點可導致未經授權的更新、插入或刪除某些 Siebel CRM Deployment 可存取資料的存取權以及未經授權造成 Siebel CRM Deployment 部分拒絕服務 (部分 DOS) 的能力。 (CVE-2025-4575)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

現已提供適用於 Red Hat Enterprise Linux 7 之 Red Hat JBoss Enterprise Application Platform 6.4 的更新。Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。Red Hat JBoss Enterprise Application Platform 是一個以 JBoss Application Server 為基礎，並提供給 Java 應用程式使用的平台。此 Red Hat JBoss Enterprise Application Platform 6.4.22 版本是 Red Hat JBoss Enterprise Application Platform 6.4.21 的替代版本，其中包含數個錯誤修正和增強功能，詳情請參閱〈參照〉中的「版本資訊」連結。安全性修正：* admin-cli：wildfly-core：JBoss Management Console 中的跨網站指令碼 (XSS) (CVE-2018-10934) * dom4j：類別中的 XML 插入：元素。方法：可影響 XML 文件完整性的 addElement、addAttribute (CVE-2018-1000632) * jbossweb：tomcat：WebSocket 用戶端中缺少主機名稱驗證 (CVE-2018-8034) 如需安全性問題的詳細資料，包括影響、CVSS 分數及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。建議所有在 Red Hat Enterprise Linux 7 中使用 Red Hat JBoss Enterprise Application Platform 6.4 的使用者皆升級至這些更新版套件。必須重新啟動 JBoss 伺服器處理程序，此更新才會生效。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2019: 3172 公告中提及的多個弱點影響。

  - python-werkzeug：debug/tbtools.py 的 render_full 函式中的跨網站指令碼 (CVE-2016-10516)

  - python-jinja2：透過 str.format 的資訊洩露導致的沙箱逸出 (CVE-2016-10745)

  - dom4j：類別中的 XML 插入：Element 中存在 CWE-91: XML 插入弱點。方法：可影響 XML 文件完整性的 addElement、addAttribute (CVE-2018-1000632)

  - rubygem-rack：多部分剖析器中的緩衝區大小允許發生拒絕服務 (CVE-2018-16470)

  - foreman：foreman-tasks 中的授權繞過可導致資訊洩漏 (CVE-2019-10198)

  - python-jinja2：str.format_map 允許沙箱逸出 (CVE-2019-10906)

  - python-twisted：未正確中和 URI 和 HTTP 方法中的 CRLF 字元 (CVE-2019-12387)

  - katello：在存放庫探索期間，以純文字擷取登錄檔憑證 (CVE-2019-14825)

  - foreman：恢復計算資源的純文字密碼或 token (CVE-2019-3893)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

Mario Areias 發現 Java 的 XML 架構 dom4j 容易受到 XML 插入攻擊。能指定 XML 文件中的屬性或元素的攻擊者可能夠修改整個 XML 文件。針對 Debian 8「Jessie」，此問題已在 1.6.1+dfsg.3-2+deb8u1 版本中修正。我們建議您升級 dom4j 套件。注意：Tenable Network Security 已直接從 DLA 安全性公告擷取前置描述區塊。Tenable 已盡量在不造成其他問題的前提下，嘗試自動清理並將其格式化。

現已提供適用於 Red Hat Enterprise Linux 6 之 Red Hat JBoss Enterprise Application Platform 6.4 的更新。Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。Red Hat JBoss Enterprise Application Platform 是一個以 JBoss Application Server 為基礎，並提供給 Java 應用程式使用的平台。此 Red Hat JBoss Enterprise Application Platform 6.4.22 版本是 Red Hat JBoss Enterprise Application Platform 6.4.21 的替代版本，其中包含數個錯誤修正和增強功能，詳情請參閱〈參照〉中的「版本資訊」連結。安全性修正：* admin-cli：wildfly-core：JBoss Management Console 中的跨網站指令碼 (XSS) (CVE-2018-10934) * dom4j：類別中的 XML 插入：元素。方法：可影響 XML 文件完整性的 addElement、addAttribute (CVE-2018-1000632) * jbossweb：tomcat：WebSocket 用戶端中缺少主機名稱驗證 (CVE-2018-8034) 如需安全性問題的詳細資料，包括影響、CVSS 分數及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。建議所有在 Red Hat Enterprise Linux 6 中使用 Red Hat JBoss Enterprise Application Platform 6.4 的使用者皆升級至這些更新版套件。必須重新啟動 JBoss 伺服器處理程序，此更新才會生效。

現已提供適用於 Red Hat Enterprise Linux 7 的 Red Hat JBoss Enterprise Application Platform 7.1 的更新。Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。Red Hat JBoss Enterprise Application Platform 是一個以 JBoss Application Server 為基礎，並提供給 Java 應用程式使用的平台。此 Red Hat JBoss Enterprise Application Platform 7.1.6 版本是 Red Hat JBoss Enterprise Application Platform 7.1.5 的替代版本，其中包含數個錯誤修正和增強功能，詳情請參閱〈參照〉中的「版本資訊」連結。安全性修正：* wildfly-core：JBoss Management Console 中的跨網站指令碼 (XSS) (CVE-2018-10934) * undertow：在 Undertow 可以從隨機緩衝區提供資料的某些情況下的資訊洩露 (CVE-2018-14642) * dom4j：類別中的 XML 插入：元素。方法：可影響 XML 文件完整性的 addElement、addAttribute (CVE-2018-1000632) 如需安全性問題的詳細資料，包括影響、CVSS 分數及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

遠端主機上安裝的 Red Hat JBoss Enterprise Application Platform (EAP) 版本是 6.4.22 之前的 6.x 版。因此，會受到 RHSA-2019: 1162 公告中所提及的多個弱點影響：

  -admin-cli：wildfly-core：JBoss Management Console 中的跨網站指令碼 (XSS) (CVE-2018-10934)

  - dom4j：類別中的 XML 插入：元素。方法：可影響 XML 文件完整性的 addElement、addAttribute (CVE-2018-1000632)

  - jbossweb：tomcat：WebSocket 用戶端中缺少主機名稱驗證 (CVE-2018-8034)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。

ID	名稱	產品	系列	已發布	已更新	嚴重性
122332	RHEL 6：RHEL 6 上的 Red Hat JBoss Enterprise Application Platform 7.1.6 (RHSA-2019:0364)	Nessus	Red Hat Local Security Checks	2019/2/20	2024/11/6	high
142499	Ubuntu 16.04 LTS：dom4j 弱點 (USN-4619-1)	Nessus	Ubuntu Local Security Checks	2020/11/6	2024/8/27	high
194177	RHEL 5：Red Hat JBoss Enterprise Application Platform 6.4.22 (RHSA-2019:1159)	Nessus	Red Hat Local Security Checks	2024/4/28	2024/11/7	high
294867	Oracle Siebel Server <= 25.11 (2026 年 1 月 CPU)	Nessus	Misc.	2026/1/21	2026/1/22	critical
125035	RHEL 7：JBoss EAP (RHSA-2019:1161)	Nessus	Red Hat Local Security Checks	2019/5/14	2024/11/7	high
130187	RHEL 7：Red Hat Satellite 6 (RHSA-2019: 3172)	Nessus	Red Hat Local Security Checks	2019/10/24	2024/11/7	high
117673	Debian DLA-1517-1：dom4j 安全性更新	Nessus	Debian Local Security Checks	2018/9/25	2024/8/5	high
125034	RHEL 6：JBoss EAP (RHSA-2019:1160)	Nessus	Red Hat Local Security Checks	2019/5/14	2024/11/6	high
122333	RHEL 7：JBoss EAP (RHSA-2019:0365)	Nessus	Red Hat Local Security Checks	2019/2/20	2024/11/6	high
132311	Red Hat JBoss Enterprise Application Platform 6.x < 6.4.22 多個弱點	Nessus	CGI abuses	2019/12/19	2024/4/2	high

偵測

搜尋 Plugin

high

high

high

critical

high

high

high

high

high

high