遠端主機上安裝的 Splunk 版本低於測試版本。因此，它會受到 SVD-2023-0808 公告中提及的一個弱點影響。

  - 使用 cgo 時，go 命令可能會在構建時執行任意程式碼。在惡意模組上執行 go get 時，或執行構建未受信任程式碼的任何其他命令時，可能會發生這種情況。這可以由透過 #cgo LDFLAGS 指示詞指定的連結器旗標觸發。未正確處理包含內嵌空格的旗標，進而允許透過 LDFLAGS 清理將不允許的旗標包含在另一個旗標的引數中。這會影響 gccgo 編譯器的使用。(CVE-2023-29405)

  - curl 7.84.0 之前版本將 cookie、alt-svc 和 hsts 資料儲存到本機檔案時，會透過將暫存名稱重新命名為最終目標檔案名稱來完成作業，從而使此作業成爲原子型作業。在此重新命名作業中，它可能會意外*放寬*針對目標檔案的權限，讓更多使用者可存取更新後的檔案。(CVE-2022-32207)

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

  - Node.js 12.1.0 之前版本的 got 套件 (也已經在 11.8.5 中得到修正) 允許重新導向至 UNIX 通訊端。
    (CVE-2022-33987)

  - 在 webpack loader-utils 中，透過 parseQuery.js 中的名稱變數，可在 parseQuery.js 的 parseQuery 函式中造成原型污染弱點。1.4.1 之前的所有版本和 2.0.3 版本會受到此弱點影響。(CVE-2022-37601)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

因此，它受到 ALAS2023-2023-049 公告中所提及的多個弱點影響。

  - 在 ProtocolBuffers 的 protobuf-cpp 3.16.1、3.17.3、3.18.2、3.19.4、3.20.1 和 3.21.5 版及其更低版本、protobuf-python 3.16.1、3.17.3、3.18.2、3.19.4、3.20.1 和 4.21.5 及其更低版本中，MessageSet 類型剖析弱點可導致記憶體不足。
    每個元素具有多個機碼值的特製訊息會造成剖析問題，並可能導致服務在接收未清理的輸入時發生拒絕服務。建議將 protobuf-cpp 升級至 3.18.3、3.19.5、3.20.2、3.21.6，將 protobuf-python 升級至 3.18.3、3.19.5、3.20.2、4.21.6 版。3.16 和 3.17 版本不再更新。(CVE-2022-1941)

  - 在 protobuf-java core 和 lite 3.21.7、3.20.3、3.19.6 和 3.16.3 之前的版本中有二進位資料剖析問題，這可能會造成拒絕服務攻擊。輸入如果含有多個具有重複或未知欄位的非重複內嵌訊息執行個體，會造成物件在可變和不可變形式之間來回轉換，進而可能導致記憶體回收長時間暫停。我們建議更新至上述版本。(CVE-2022-3171)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上執行的 Atlassian Jira Service Management Data Center and Server (Jira Service Desk) 版本受到 JSDSERVER-14754 公告中提及的一個弱點影響。

  - 在 protobuf-java core 和 lite 3.21.7、3.20.3、3.19.6 和 3.16.3 之前的版本中有二進位資料剖析問題，這可能會造成拒絕服務攻擊。輸入如果含有多個具有重複或未知欄位的非重複內嵌訊息執行個體，會造成物件在可變和不可變形式之間來回轉換，進而可能導致記憶體回收長時間暫停。我們建議更新至上述版本。(CVE-2022-3171)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 IBM Cognos Analytics 版本是 11.1.7 Fix Pack 7 之前的 11.1.x 版或 11.2.4 FP1 之前的 11.2.x 版。因此會受到包括以下在內的多個弱點影響：

  - GNOME libxml2 可允許遠端攻擊者在系統上執行任意程式碼，這是因為 xinclude.c 的 xmlXIncludeDoProcess() 函式中存在釋放後使用弱點所致。透過傳送特製的檔案，攻擊者可惡意利用此弱點，在系統上執行任意程式碼。(CVE-2021-3518)

  - Node.js 可允許本機攻擊者在系統上取得提升的權限，這是因為 providers.dll 的 DLL 搜尋順序劫持所致。透過放置特製檔案，攻擊者可惡意利用此弱點來提升權限。(CVE-2022-32223)

  - Node.js 標記的模組容易受到拒絕服務影響，這是因為 inline.reflinkSearch 中的規則運算式拒絕服務 (ReDoS) 缺陷所致。遠端攻擊者可藉由傳送特別構建的 Regex 輸入，利用此弱點造成拒絕服務情形。(CVE-2022-21681)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle Database Server 版本受到 2023 年 1 月 CPU 公告中提及的多個弱點影響。

  - Oracle Database Server 的 Oracle Data Provider for .NET 元件中存在的弱點。受影響的支援版本是 19c 和 21c。攻擊此弱點的難度較大，經由 TCPS 存取網路的未經驗證的攻擊者可藉此入侵 Oracle Data Provider for .NET。若要成功攻擊，必須有攻擊者以外之他人的互動。若成功攻擊此弱點，攻擊者可以接管 Oracle Data Provider for .NET。注意：也適用於 Windows 平台上僅限用戶端的資料庫。
    (CVE-2023-21893)

  - Oracle Database Server 的 Oracle Database - Machine Learning for Python (Python) 元件中存在的弱點。受影響的支援版本是 21c 版。利用此弱點的難度較低，擁有「資料庫使用者」權限且可透過 Oracle Net 存取網路的低權限攻擊者可藉此入侵 Oracle Database - Machine Learning for Python (Python)。若成功攻擊此弱點，攻擊者可在未經授權的情況下造成 Oracle Database - Machine Learning for Python (Python) 懸置或經常重複性當機 (完全 DOS)。(CVE-2021-3737)

  - Oracle Database Server 的 Oracle Database - RDBMS Security 元件中存在的弱點。受影響的支援版本是 19c 和 21c。利用此弱點的難度較低，擁有「建立工作階段」權限且可透過 Oracle Net 存取網路的低權限攻擊者可藉此入侵 Oracle Database RDBMS Security。若要成功攻擊，必須有攻擊者以外之他人的互動。
    若成功攻擊此弱點，攻擊者未經授權即可建立、刪除或修改重要資料或所有 Oracle Database RDBMS Security 可存取資料，並在未經授權的情況下讀取部分 Oracle Database RDBMS Security 可存取資料。(CVE-2023-21829)

  - Oracle Database Server 的 Java VM 元件中存在弱點。受影響的支援版本是 19c 和 21c。利用此弱點的難度較低，具有「建立程序」權限且可透過 Oracle Net 存取網路的低權限攻擊者可藉此弱點入侵 Java VM。若成功攻擊此弱點，攻擊者未經授權即可造成 Java VM 部分拒絕服務 (部分 DOS)。(CVE-2022-39429)

  - Oracle Database Server 的 Oracle Database Data Redaction 元件中存在的弱點。受影響的支援版本是 19c 和 21c。利用此弱點的難度較低，擁有「建立工作階段」權限且可透過 Oracle Net 存取網路的低權限攻擊者可藉此入侵 Oracle Database Data Redaction。若成功攻擊此弱點，攻擊者未經授權即可讀取部分 Oracle Database Data Redaction 可存取資料。(CVE-2023-21827)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 在 protobuf-java core 和 lite 3.21.7、3.20.3、3.19.6 和 3.16.3 之前的版本中有二進位資料剖析問題，這可能會造成拒絕服務攻擊。輸入如果含有多個具有重複或未知欄位的非重複內嵌訊息執行個體，會造成物件在可變和不可變形式之間來回轉換，進而可能導致記憶體回收長時間暫停。我們建議更新至上述版本。(CVE-2022-3171)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

遠端主機上安裝的 MySQL NET Connector 版本受到 2023 年 1 月 CPU 公告中提及的一個弱點影響。受到影響的支援版本是 8.0.31 和之前的版本。利用此弱點的難度較低，經由多個通訊協定存取網路的未經驗證的攻擊者可藉此入侵 MySQL Connectors。若成功攻擊此弱點，攻擊者可在未經授權的情況下造成 MySQL Connectors 懸置或經常重複性當機 (完全 DOS)。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle Database Server 版本受到 2023 年 1 月 CPU 公告中提及的多個弱點影響。

  - Oracle Database Server 的 Oracle Database - Machine Learning for Python (Python) 元件中存在的弱點。受影響的支援版本是 21c 版。利用此弱點的難度較低，擁有「資料庫使用者」權限且可透過 Oracle Net 存取網路的低權限攻擊者可藉此入侵 Oracle Database - Machine Learning for Python (Python)。若成功攻擊此弱點，攻擊者可在未經授權的情況下造成 Oracle Database - Machine Learning for Python (Python) 懸置或經常重複性當機 (完全 DOS)。(CVE-2021-3737)

  - Oracle Database Server 的 Oracle Database - RDBMS Security 元件中存在的弱點。受影響的支援版本是 19c 和 21c。利用此弱點的難度較低，擁有「建立工作階段」權限且可透過 Oracle Net 存取網路的低權限攻擊者可藉此入侵 Oracle Database RDBMS Security。若要成功攻擊，必須有攻擊者以外之他人的互動。
    若成功攻擊此弱點，攻擊者未經授權即可建立、刪除或修改重要資料或所有 Oracle Database RDBMS Security 可存取資料，並在未經授權的情況下讀取部分 Oracle Database RDBMS Security 可存取資料。(CVE-2023-21829)

  - Oracle Database Server 的 Java VM 元件中存在弱點。受影響的支援版本是 19c 和 21c。利用此弱點的難度較低，具有「建立程序」權限且可透過 Oracle Net 存取網路的低權限攻擊者可藉此弱點入侵 Java VM。若成功攻擊此弱點，攻擊者未經授權即可造成 Java VM 部分拒絕服務 (部分 DOS)。(CVE-2022-39429)

  - Oracle Database Server 的 Oracle Database Data Redaction 元件中存在的弱點。受影響的支援版本是 19c 和 21c。利用此弱點的難度較低，擁有「建立工作階段」權限且可透過 Oracle Net 存取網路的低權限攻擊者可藉此入侵 Oracle Database Data Redaction。若成功攻擊此弱點，攻擊者未經授權即可讀取部分 Oracle Database Data Redaction 可存取資料。(CVE-2023-21827)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Primavera Gateway 版本受到 2023 年 1 月 CPU 公告中提及的多個弱點影響影響。

  - Oracle Construction and Engineering 的 Primavera Gateway 產品中的弱點 (元件：管理 (Google Protobuf-Java))。受影響的支援版本是 18.8.0-18.8.15、19.12.0-19.12.15、20.12.0-20.12.10 和 21.12.0-21.12.8。此弱點可輕易被惡意利用，具有網路存取權的未經驗證攻擊者可藉以透過 HTTP 入侵 Primavera Gateway。若成功攻擊此弱點，攻擊者可在未經授權的情況下，造成 Primavera Unifier 懸置或經常重複性當機 (完全 DOS) (CVE-2022-3171)     
  - Oracle Construction and Engineering 的 Primavera Gateway 產品中的弱點 (元件：管理 (jackson-databind))。受影響的支援版本是 18.8.0-18.8.15、19.12.0-19.12.15、20.12.0-20.12.10 和 21.12.0-21.12.8。此弱點可輕易被惡意利用，具有網路存取權的未經驗證攻擊者可藉以透過 HTTP 入侵 Primavera Gateway。若成功攻擊此弱點，攻擊者可在未經授權的情況下，造成 Primavera Unifier 懸置或經常重複性當機 (完全 DOS)。(CVE-2022-42003)

  - Oracle Construction and Engineering 的 Primavera Gateway 產品中的弱點 (元件：管理 (Apache Commons Text))。受影響的支援版本是 18.8.0-18.8.15、19.12.0-19.12.15、20.12.0-20.12.10 和 21.12.0-21.12.8。此弱點可輕易被惡意利用，具有網路存取權的未經驗證攻擊者可藉以透過 HTTP 入侵 Primavera Gateway。若成功攻擊此弱點，可導致 Primavera Gateway 被接管。(CVE-2022-42889)

  - Oracle Construction and Engineering 的 Primavera Gateway 產品中的弱點 (元件：WebUI)。
    受影響的支援版本是 18.8.0-18.8.15、19.12.0-19.12.15、20.12.0-20.12.10 和 21.12.0-21.12.8。攻擊此弱點的難度較小，經由 HTTP 存取網路的低權限攻擊者可藉此入侵 Primavera Gateway。若要成功攻擊，必須有攻擊者以外之他人進行互動。雖然此弱點位於 Primavera Gateway 中，但攻擊可能對其他產品造成重大影響 (範圍變更)。若成功攻擊此弱點，攻擊者未經授權即可更新、插入或刪除某些 Primavera Gateway 可存取資料，並且未經授權可以讀取部分 Primavera Gateway 可存取資料。(CVE-2023-21888)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機受到 GLSA-202301-09 中所述的弱點影響 (protobuf-java：拒絕服務)

  - 在 protobuf-java core 和 lite 3.21.7、3.20.3、3.19.6 和 3.16.3 之前的版本中有二進位資料剖析問題，這可能會造成拒絕服務攻擊。輸入如果含有多個具有重複或未知欄位的非重複內嵌訊息執行個體，會造成物件在可變和不可變形式之間來回轉換，進而可能導致記憶體回收長時間暫停。我們建議更新至上述版本。(CVE-2022-3171)

  - 在 protobuf-java core 和 lite 3.21.7、 3.20.3、3.19.6 和 3.16.3 之前的版本中有類似於 CVE-2022-3171 的剖析問題，但這涉及 textformat，而且可能會造成拒絕服務攻擊。輸入如果含有多個具有重複或未知欄位的非重複內嵌訊息執行個體，會造成物件在可變和不可變形式之間來回轉換，進而可能導致記憶體回收長時間暫停。我們建議更新至上述版本。(CVE-2022-3509)

  - 在 protobuf-java core 和 lite 3.21.7、 3.20.3、3.19.6 和 3.16.3 之前的版本中有類似於 CVE-2022-3171 的剖析問題，但這涉及訊息類型的擴充功能，而且可能會造成拒絕服務攻擊。輸入如果含有多個具有重複或未知欄位的非重複內嵌訊息執行個體，會造成物件在可變和不可變形式之間來回轉換，進而可能導致記憶體回收長時間暫停。我們建議更新至上述版本。(CVE-2022-3510)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
194928	Splunk Enterprise 8.2.0 < 8.2.12、9.0.0 < 9.0.6、9.1.0 < 9.1.1 (SVD-2023-0808)	Nessus	CGI abuses	2024/5/2	2024/7/29	critical
173134	Amazon Linux 2023：protobuf、protobuf-compiler、protobuf-devel (ALAS2023-2023-049)	Nessus	Amazon Linux Local Security Checks	2023/3/21	2024/12/11	high
186723	Atlassian Jira Service Management Data Center and Server 4.20.x < 4.20.27 / 5.4.x < 5.4.11 (JSDSERVER-14754)	Nessus	Misc.	2023/12/11	2024/10/7	high
175429	IBM Cognos Analytics 多個弱點 (6986505)	Nessus	CGI abuses	2023/5/12	2023/7/27	critical
170192	適用於 Windows 的 Oracle Database Server (2023 年 1 月 CPU)	Nessus	Databases	2023/1/20	2023/10/24	high
224794	Linux Distros 未修補的弱點：CVE-2022-3171	Nessus	Misc.	2025/3/5	2025/8/27	high
170200	Oracle MySQL NET Connector (2023 年 1 月 CPU)	Nessus	Misc.	2023/1/20	2023/11/1	high
170191	適用於 Unix 的 Oracle Database Server (2023 年 1 月 CPU)	Nessus	Databases	2023/1/20	2023/10/24	high
170194	Oracle Primavera Gateway (2023 年 1 月 CPU)	Nessus	CGI abuses	2023/1/20	2024/1/22	critical
169832	GLSA-202301-09：protobuf-java：拒絕服務	Nessus	Gentoo Local Security Checks	2023/1/11	2023/1/11	high

偵測

搜尋 Plugin

critical

high

high

critical

high

high

high

high

critical

high