遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2023: 1744 公告中提及的多個弱點影響。

  - 這會影響 4.1.1 版之前的 http-cache-semantics 套件。當伺服器使用此程式庫從要求讀取快取原則時，攻擊者可透過傳送至伺服器的惡意要求標頭值來利用此問題。(CVE-2022-25881)

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

  - 在 c-ares 套件中發現一個瑕疵。ares_set_sortlist 遺漏有關輸入字串有效性的檢查，這可能會允許任意長度的堆疊溢位。此問題可造成拒絕服務，或對機密性和完整性造成有限影響。(CVE-2022-4904)

  - Node.js <19.6.1、 <18.14.1、 <16.19.1 和 <14.21.3 中存在權限提升弱點，攻擊者可利用此弱點繞過 Node.js 中的實驗性權限 (https://nodejs.org/api/permissions.html) 功能，並使用 process.mainModule.require() 存取未授權的模組。這只會影響已使用 --experimental-policy 啟用實驗性權限選項的使用者。(CVE-2023-23918)

  - Node.js 低於 19.6.1、低於 18.14.1、低於 16.19.1 和低於 14.21.3 的版本中存在一個不受信任的搜尋路徑弱點，攻擊者可藉此在借助提升的權限執行時搜尋並可能載入 ICU 資料。
    (CVE-2023-23920)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的套件受到 RHSA-2023: 1743 公告中提及的多個弱點影響。

  - Node.js 的 glob-parent 套件 6.0.1 之前版本允許攻擊者對封裝規則運算式發動 ReDoS (規則運算式拒絕服務) 攻擊。(CVE-2021-35065)

  - 這會影響 4.1.1 版之前的 http-cache-semantics 套件。當伺服器使用此程式庫從要求讀取快取原則時，攻擊者可透過傳送至伺服器的惡意要求標頭值來利用此問題。(CVE-2022-25881)

  - 在 minimatch 套件中發現一個弱點。使用特定引數呼叫 breedExpand 函式時，此缺陷允許發生規則運算式拒絕服務 (ReDoS)，進而導致程式拒絕服務。(CVE-2022-3517)

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

  - 在 c-ares 套件中發現一個瑕疵。ares_set_sortlist 遺漏有關輸入字串有效性的檢查，這可能會允許任意長度的堆疊溢位。此問題可造成拒絕服務，或對機密性和完整性造成有限影響。(CVE-2022-4904)

  - Node.js <19.6.1、 <18.14.1、 <16.19.1 和 <14.21.3 中存在權限提升弱點，攻擊者可利用此弱點繞過 Node.js 中的實驗性權限 (https://nodejs.org/api/permissions.html) 功能，並使用 process.mainModule.require() 存取未授權的模組。這只會影響已使用 --experimental-policy 啟用實驗性權限選項的使用者。(CVE-2023-23918)

  - Node.js 低於 19.6.1、低於 18.14.1、低於 16.19.1 和低於 14.21.3 的版本中存在一個不受信任的搜尋路徑弱點，攻擊者可藉此在借助提升的權限執行時搜尋並可能載入 ICU 資料。
    (CVE-2023-23920)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

請注意，Nessus 依賴供應商報告的套件存在。

遠端主機上執行的 Atlassian Confluence Server 版本受到 CONFSERVER-98022 公告中提及的一個弱點影響。

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 CentOS Linux 8 主機上安裝的套件受到 CESA-2023: 1743 公告中提及的多個弱點影響。

  - Node.js 的 glob-parent 套件 6.0.1 之前版本允許攻擊者對封裝規則運算式發動 ReDoS (規則運算式拒絕服務) 攻擊。(CVE-2021-35065)

  - 這會影響 4.1.1 版之前的 http-cache-semantics 套件。當伺服器使用此程式庫從要求讀取快取原則時，攻擊者可透過傳送至伺服器的惡意要求標頭值來利用此問題。(CVE-2022-25881)

  - 在 minimatch 套件中發現一個弱點。使用特定引數呼叫 breedExpand 函式時，此缺陷允許發生規則運算式拒絕服務 (ReDoS)，進而導致程式拒絕服務。(CVE-2022-3517)

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

  - 在 c-ares 套件中發現一個瑕疵。ares_set_sortlist 遺漏有關輸入字串有效性的檢查，這可能會允許任意長度的堆疊溢位。此問題可造成拒絕服務，或對機密性和完整性造成有限影響。(CVE-2022-4904)

  - Node.js <19.6.1、 <18.14.1、 <16.19.1 和 <14.21.3 中存在權限提升弱點，攻擊者可利用此弱點繞過 Node.js 中的實驗性權限 (https://nodejs.org/api/permissions.html) 功能，並使用 process.mainModule.require() 存取未授權的模組。這只會影響已使用 --experimental-policy 啟用實驗性權限選項的使用者。(CVE-2023-23918)

  - Node.js 低於 19.6.1、低於 18.14.1、低於 16.19.1 和低於 14.21.3 的版本中存在一個不受信任的搜尋路徑弱點，攻擊者可藉此在借助提升的權限執行時搜尋並可能載入 ICU 資料。
    (CVE-2023-23920)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Splunk 版本低於測試版本。因此，它會受到 SVD-2023-0808 公告中提及的一個弱點影響。

  - 使用 cgo 時，go 命令可能會在構建時執行任意程式碼。在惡意模組上執行 go get 時，或執行構建未受信任程式碼的任何其他命令時，可能會發生這種情況。這可以由透過 #cgo LDFLAGS 指示詞指定的連結器旗標觸發。未正確處理包含內嵌空格的旗標，進而允許透過 LDFLAGS 清理將不允許的旗標包含在另一個旗標的引數中。這會影響 gccgo 編譯器的使用。(CVE-2023-29405)

  - curl 7.84.0 之前版本將 cookie、alt-svc 和 hsts 資料儲存到本機檔案時，會透過將暫存名稱重新命名為最終目標檔案名稱來完成作業，從而使此作業成爲原子型作業。在此重新命名作業中，它可能會意外*放寬*針對目標檔案的權限，讓更多使用者可存取更新後的檔案。(CVE-2022-32207)

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

  - Node.js 12.1.0 之前版本的 got 套件 (也已經在 11.8.5 中得到修正) 允許重新導向至 UNIX 通訊端。
    (CVE-2022-33987)

  - 在 webpack loader-utils 中，透過 parseQuery.js 中的名稱變數，可在 parseQuery.js 的 parseQuery 函式中造成原型污染弱點。1.4.1 之前的所有版本和 2.0.3 版本會受到此弱點影響。(CVE-2022-37601)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 9 主機上安裝的套件受到 RHSA-2023: 6316 公告中提及的一個弱點影響。

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Oracle Linux 8 主機中安裝的套件受到 ELSA-2023-1743 公告中提及的多個弱點影響。

  - 在 minimatch 套件中發現一個弱點。使用特定引數呼叫 breedExpand 函式時，此缺陷允許發生規則運算式拒絕服務 (ReDoS)，進而導致程式拒絕服務。(CVE-2022-3517)

  - 在 c-ares 套件中發現一個瑕疵。ares_set_sortlist 遺漏有關輸入字串有效性的檢查，這可能會允許任意長度的堆疊溢位。此問題可造成拒絕服務，或對機密性和完整性造成有限影響。(CVE-2022-4904)

  - Node.js 的 glob-parent 套件 6.0.1 之前版本允許攻擊者對封裝規則運算式發動 ReDoS (規則運算式拒絕服務) 攻擊。(CVE-2021-35065)

  - Node.js 低於 19.6.1、低於 18.14.1、低於 16.19.1 和低於 14.21.3 的版本中存在一個不受信任的搜尋路徑弱點，攻擊者可藉此在借助提升的權限執行時搜尋並可能載入 ICU 資料。
    (CVE-2023-23920)

  - 這會影響 4.1.1 版之前的 http-cache-semantics 套件。當伺服器使用此程式庫從要求讀取快取原則時，攻擊者可透過傳送至伺服器的惡意要求標頭值來利用此問題。(CVE-2022-25881)

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

  - Node.js <19.6.1、 <18.14.1、 <16.19.1 和 <14.21.3 中存在權限提升弱點，攻擊者可利用此弱點繞過 Node.js 中的實驗性權限 (https://nodejs.org/api/permissions.html) 功能，並使用 process.mainModule.require() 存取未授權的模組。這只會影響已使用 --experimental-policy 啟用實驗性權限選項的使用者。(CVE-2023-23918)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的套件受到 RHSA-2023: 1742 公告中提及的多個弱點影響。

  - Node.js 的 glob-parent 套件 6.0.1 之前版本允許攻擊者對封裝規則運算式發動 ReDoS (規則運算式拒絕服務) 攻擊。(CVE-2021-35065)

  - 接受任意主體別名 (SAN) 類型 (除非特別定義 PKI 以使用特定 SAN 類型) 可導致繞過限制名稱的中繼體。Node.js < 12.22.9、< 14.18.3、< 16.13.2 和 < 17.3.1 接受通常定義為不使用 PKI 的 URI SAN 類型。
    此外，當通訊協定允許 URI SAN 時，Node.js 未與 URI 正確相符。具有此修正的 Node.js 版本會在針對主機名稱檢查憑證時停用 URI SAN 類型。此行為可透過 --security-revert 命令列選項還原。(CVE-2021-44531)

  - Node.js < 12.22.9、< 14.18.3、< 16.13.2 和 < 17.3.1 會將 SAN (主體別名) 轉換為字串格式。驗證連線時，它會使用此字串根據主機名稱檢查對等憑證。在憑證鏈中使用名稱限制時，字串格式容易受到一個插入弱點影響，進而允許繞過這些名稱限制。具有此修正的 Node.js 版本會溢出包含問題字元的 SAN，以防止插入。此行為可透過 --security-revert 命令列選項還原。(CVE-2021-44532)

  - Node.js < 12.22.9、< 14.18.3、< 16.13.2 和 < 17.3.1 未正確處理多值相對辨別名稱。例如，攻擊者可建構包含單值相對辨別名稱的憑證主體，該名稱會被解譯為多值相對辨別名稱，以便插入允許繞過憑證主體驗證的通用名稱。受影響的 Node.js 版本不會接受多值相對辨別名稱，因此本身不會受到此類攻擊影響。但是，憑證主體使用節點不明確表示法的第三方程式碼可能會受到影響。(CVE-2021-44533)

  - Minimist <=1.2.5 容易受到透過檔案 index.js 的 setKey() 函式 (第 69-95 行) 造成的原型污染弱點影響。
    (CVE-2021-44906)

  - node-fetch 容易將敏感資訊洩漏給未經授權的行為者 (CVE-2022-0235)

  - 由於 console.table() 函式的格式化邏輯，在傳送具有至少一個屬性的純物件 (可能是 __proto__) 的同時，將使用者控制的輸入傳送至屬性參數是不安全的。原型污染的控制權非常有限，因為它只允許將空字串指派給物件原型的數值金鑰。Node.js >= 12.22.9、>= 14.18.3、>= 16.13.2 和 >= 17.3.1 使用這些屬性獲派的物件空值原型。(CVE-2022-21824)

  - 6.10.3 之前的 qs 使用於 4.17.3 之前的 Express 和其他產品中，這會讓攻擊者造成 Express 應用程式的 Node 處理程序懸置，因為可以使用 __ proto__ 金鑰。在許多典型的 Express 使用案例中，未經驗證的遠端攻擊者可將攻擊承載置於用於造訪應用程式的 URL 查詢字串中，例如 a[__proto__]=b&a[__proto__]&a[length]=100000000。修正已反向移植到 qs 6.9.7、6.8.3、6.7.3、6.6.1、6.5.3、6.4.1、6.3.3 和 6.2.4 (因此 Express 4.17.3 不受此弱點影響，其在版本說明中具有 deps:qs@6.9.7)。 (CVE-2022-24999)

  - 這會影響 4.1.1 版之前的 http-cache-semantics 套件。當伺服器使用此程式庫從要求讀取快取原則時，攻擊者可透過傳送至伺服器的惡意要求標頭值來利用此問題。(CVE-2022-25881)

  - 在 minimatch 套件中發現一個弱點。使用特定引數呼叫 breedExpand 函式時，此缺陷允許發生規則運算式拒絕服務 (ReDoS)，進而導致程式拒絕服務。(CVE-2022-3517)

  - Node v18.7.0 的 http 模組中的 llhttp 剖析器未正確處理非以 CLRF 結尾的標頭欄位，這可能會導致 HTTP 要求走私攻擊。(CVE-2022-35256)

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

  - 低於 14.21.1、16.18.1、18.12.1、19.0.1 的 Node.js 版本中存在 OS 命令插入弱點，這是因為 IsAllowedHost 檢查不充分所致，IsIPAddress 在提出 DBS 要求之前未正確檢查 IP 位址是否無效，因而攻擊者可以輕易略過 IsAllowedHost 檢查，執行重新繫結攻擊。https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32212 中針對此問題的修復不完整，所以提供了新的 CVE 來補充此修復。(CVE-2022-43548)

  - 在 c-ares 套件中發現一個瑕疵。ares_set_sortlist 遺漏有關輸入字串有效性的檢查，這可能會允許任意長度的堆疊溢位。此問題可造成拒絕服務，或對機密性和完整性造成有限影響。(CVE-2022-4904)

  - Node.js <19.6.1、 <18.14.1、 <16.19.1 和 <14.21.3 中存在權限提升弱點，攻擊者可利用此弱點繞過 Node.js 中的實驗性權限 (https://nodejs.org/api/permissions.html) 功能，並使用 process.mainModule.require() 存取未授權的模組。這只會影響已使用 --experimental-policy 啟用實驗性權限選項的使用者。(CVE-2023-23918)

  - Node.js 低於 19.6.1、低於 18.14.1、低於 16.19.1 和低於 14.21.3 的版本中存在一個不受信任的搜尋路徑弱點，攻擊者可藉此在借助提升的權限執行時搜尋並可能載入 ICU 資料。
    (CVE-2023-23920)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Splunk 版本低於測試版本。因此，它會受到 SVD-2023-0613 公告中提及的一個弱點影響。

  - 在 Node.js 的 xmldom (發佈為 @xmldom/xmldom) 套件 0.8.3 之前版本中，透過 p 變數可在 dom.js 的 copy 函式中產生原型污染弱點。注意：廠商表示我們正在將此報告標記為無效，但是某些第三方認為原型插入/原型污染不僅在全域物件受到遞回合併或深度複製污染時發生，也在目標物件受到污染時發生。(CVE-2022-37616)

  - curl 7.84.0 之前版本將 cookie、alt-svc 和 hsts 資料儲存到本機檔案時，會透過將暫存名稱重新命名為最終目標檔案名稱來完成作業，從而使此作業成爲原子型作業。在此重新命名作業中，它可能會意外*放寬*針對目標檔案的權限，讓更多使用者可存取更新後的檔案。(CVE-2022-32207)

  - 在 2.10.3 之前的 libxml2 中發現一個問題。在啟用 XML_PARSE_HUGE 剖析器選項的情況下剖析數個 GB 的 XML 文件時，數個整數計數器可能溢位。這會導致程式嘗試以負的 2GB 位移存取陣列，這通常會導致區段錯誤。(CVE-2022-40303)

  - 在 2.10.3 之前的 libxml2 中發現一個問題。某些無效的 XML 實體定義可損毀雜湊表金鑰，這可能導致後續發生邏輯錯誤。在一種情況下，可能會引發雙重釋放。(CVE-2022-40304)

  - X.509 GeneralName 中有一個與 X.400 位址處理相關的類型混淆弱點。
    X.400 位址被剖析為 ASN1_STRING，但 GENERAL_NAME 的公開結構定義錯誤地將 x400Address 欄位的類型指定為 ASN1_TYPE。此欄位隨後會被 OpenSSL 函式 GENERAL_NAME_cmp 解譯為 ASN1_TYPE，而非 ASN1_STRING。啟用 CRL 檢查時 (即應用程式設定 X509_V_FLAG_CRL_CHECK 旗標)，此弱點可能允許攻擊者向 memcmp 呼叫傳遞任意指標，使其能夠讀取記憶體內容或發動拒絕服務攻擊。在大多數情況下，攻擊者需要同時提供憑證鍊和 CRL，兩者都不需要有效的簽章。如果攻擊者只控制其中一個輸入，則另一個輸入必須已包含 X.400 位址作為 CRL 發佈點，此情況並不常見。因此，此弱點最有可能只影響已實作透過網路擷取 CRL 這一功能的應用程式。(CVE-2023-0286)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的套件受到 RHSA-2023: 1533 公告中提及的多個弱點影響。

  - Node.js 的 glob-parent 套件 6.0.1 之前版本允許攻擊者對封裝規則運算式發動 ReDoS (規則運算式拒絕服務) 攻擊。(CVE-2021-35065)

  - Minimist <=1.2.5 容易受到透過檔案 index.js 的 setKey() 函式 (第 69-95 行) 造成的原型污染弱點影響。
    (CVE-2021-44906)

  - 6.10.3 之前的 qs 使用於 4.17.3 之前的 Express 和其他產品中，這會讓攻擊者造成 Express 應用程式的 Node 處理程序懸置，因為可以使用 __ proto__ 金鑰。在許多典型的 Express 使用案例中，未經驗證的遠端攻擊者可將攻擊承載置於用於造訪應用程式的 URL 查詢字串中，例如 a[__proto__]=b&a[__proto__]&a[length]=100000000。修正已反向移植到 qs 6.9.7、6.8.3、6.7.3、6.6.1、6.5.3、6.4.1、6.3.3 和 6.2.4 (因此 Express 4.17.3 不受此弱點影響，其在版本說明中具有 deps:qs@6.9.7)。 (CVE-2022-24999)

  - 這會影響 4.1.1 版之前的 http-cache-semantics 套件。當伺服器使用此程式庫從要求讀取快取原則時，攻擊者可透過傳送至伺服器的惡意要求標頭值來利用此問題。(CVE-2022-25881)

  - 在 minimatch 套件中發現一個弱點。使用特定引數呼叫 breedExpand 函式時，此缺陷允許發生規則運算式拒絕服務 (ReDoS)，進而導致程式拒絕服務。(CVE-2022-3517)

  - Node v18.7.0 的 http 模組中的 llhttp 剖析器未正確處理非以 CLRF 結尾的標頭欄位，這可能會導致 HTTP 要求走私攻擊。(CVE-2022-35256)

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

  - 低於 14.21.1、16.18.1、18.12.1、19.0.1 的 Node.js 版本中存在 OS 命令插入弱點，這是因為 IsAllowedHost 檢查不充分所致，IsIPAddress 在提出 DBS 要求之前未正確檢查 IP 位址是否無效，因而攻擊者可以輕易略過 IsAllowedHost 檢查，執行重新繫結攻擊。https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32212 中針對此問題的修復不完整，所以提供了新的 CVE 來補充此修復。(CVE-2022-43548)

  - 在 c-ares 套件中發現一個瑕疵。ares_set_sortlist 遺漏有關輸入字串有效性的檢查，這可能會允許任意長度的堆疊溢位。此問題可造成拒絕服務，或對機密性和完整性造成有限影響。(CVE-2022-4904)

  - Node.js <19.6.1、 <18.14.1、 <16.19.1 和 <14.21.3 中存在權限提升弱點，攻擊者可利用此弱點繞過 Node.js 中的實驗性權限 (https://nodejs.org/api/permissions.html) 功能，並使用 process.mainModule.require() 存取未授權的模組。這只會影響已使用 --experimental-policy 啟用實驗性權限選項的使用者。(CVE-2023-23918)

  - Node.js 低於 19.6.1、低於 18.14.1、低於 16.19.1 和低於 14.21.3 的版本中存在一個不受信任的搜尋路徑弱點，攻擊者可藉此在借助提升的權限執行時搜尋並可能載入 ICU 資料。
    (CVE-2023-23920)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Rocky Linux 8 主機已安裝受到多個弱點影響的套件如 RLSA-2023:1743 公告中所提及。

  - Node.js 的 glob-parent 套件 6.0.1 之前版本允許攻擊者對封裝規則運算式發動 ReDoS (規則運算式拒絕服務) 攻擊。(CVE-2021-35065)

  - 這會影響 4.1.1 版之前的 http-cache-semantics 套件。當伺服器使用此程式庫從要求讀取快取原則時，攻擊者可透過傳送至伺服器的惡意要求標頭值來利用此問題。(CVE-2022-25881)

  - 在 minimatch 套件中發現一個弱點。使用特定引數呼叫 breedExpand 函式時，此缺陷允許發生規則運算式拒絕服務 (ReDoS)，進而導致程式拒絕服務。(CVE-2022-3517)

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

  - 在 c-ares 套件中發現一個瑕疵。ares_set_sortlist 遺漏有關輸入字串有效性的檢查，這可能會允許任意長度的堆疊溢位。此問題可造成拒絕服務，或對機密性和完整性造成有限影響。(CVE-2022-4904)

  - Node.js <19.6.1、 <18.14.1、 <16.19.1 和 <14.21.3 中存在特權提升弱點，攻擊者可利用此弱點繞過 Node.js 中的實驗性權限 (https://nodejs.org/api/permissions.html) 功能，並使用 process.mainModule.require() 存取未授權的模組。這只會影響已使用 --experimental-policy 啟用實驗性權限選項的使用者。(CVE-2023-23918)

  - Node.js 低於 19.6.1、低於 18.14.1、低於 16.19.1 和低於 14.21.3 的版本中存在一個不受信任的搜尋路徑弱點，攻擊者可藉此在借助提升的權限執行時搜尋並可能載入 ICU 資料。
    (CVE-2023-23920)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 IBM Cognos Analytics 版本是 11.1.7 Fix Pack 7 之前的 11.1.x 版或 11.2.4 FP1 之前的 11.2.x 版。因此會受到包括以下在內的多個弱點影響：

  - GNOME libxml2 可允許遠端攻擊者在系統上執行任意程式碼，這是因為 xinclude.c 的 xmlXIncludeDoProcess() 函式中存在釋放後使用弱點所致。透過傳送特製的檔案，攻擊者可惡意利用此弱點，在系統上執行任意程式碼。(CVE-2021-3518)

  - Node.js 可允許本機攻擊者在系統上取得提升的權限，這是因為 providers.dll 的 DLL 搜尋順序劫持所致。透過放置特製檔案，攻擊者可惡意利用此弱點來提升權限。(CVE-2022-32223)

  - Node.js 標記的模組容易受到拒絕服務影響，這是因為 inline.reflinkSearch 中的規則運算式拒絕服務 (ReDoS) 缺陷所致。遠端攻擊者可藉由傳送特別構建的 Regex 輸入，利用此弱點造成拒絕服務情形。(CVE-2022-21681)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Oracle Linux 9 主機上安裝的套件受到 ELSA-2023-6316 公告中提及的一個弱點影響。

  - decode-uri-component 0.2.0 容易產生不當輸入驗證問題，進而導致 DoS。(CVE-2022-38900)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
174180	RHEL 7：rh-nodejs14-nodejs (RHSA-2023: 1744)	Nessus	Red Hat Local Security Checks	2023/4/12	2024/11/7	high
174181	RHEL 8：nodejs: 14 (RHSA-2023: 1743)	Nessus	Red Hat Local Security Checks	2023/4/12	2025/3/6	high
224886	Linux Distros 未修補的弱點：CVE-2022-38900	Nessus	Misc.	2025/3/5	2025/9/10	high
214004	Atlassian Confluence 7.19.x < 7.19.29 / 7.20.x < 8.5.17 / 8.6.x < 8.9.8 / 9.0.x < 9.1.1 (CONFSERVER-98022)	Nessus	CGI abuses	2025/1/13	2025/1/13	high
174251	CentOS 8：nodejs: 14 (CESA-2023: 1743)	Nessus	CentOS Local Security Checks	2023/4/13	2024/2/8	high
194928	Splunk Enterprise 8.2.0 < 8.2.12、9.0.0 < 9.0.6、9.1.0 < 9.1.1 (SVD-2023-0808)	Nessus	CGI abuses	2024/5/2	2024/7/29	critical
185088	RHEL 9：pcs (RHSA-2023: 6316)	Nessus	Red Hat Local Security Checks	2023/11/7	2025/3/6	high
174231	Oracle Linux 8：nodejs: 14 (ELSA-2023-1743)	Nessus	Oracle Linux Local Security Checks	2023/4/13	2024/11/1	high
174178	RHEL 8：nodejs: 14 (RHSA-2023: 1742)	Nessus	Red Hat Local Security Checks	2023/4/12	2024/11/7	critical
194919	Splunk Enterprise < 8.1.14、8.2.0 < 8.2.11、9.0.0 < 9.0.5 (SVD-2023-0613)	Nessus	CGI abuses	2024/5/2	2024/7/26	critical
173777	RHEL 8：nodejs: 14 (RHSA-2023: 1533)	Nessus	Red Hat Local Security Checks	2023/4/2	2024/11/7	critical
174795	Rocky Linux 8nodejs:14 (RLSA-2023:1743)	Nessus	Rocky Linux Local Security Checks	2023/4/26	2023/11/6	high
175429	IBM Cognos Analytics 多個弱點 (6986505)	Nessus	CGI abuses	2023/5/12	2023/7/27	critical
185845	Oracle Linux 9：pcs / (LOW) (ELSA-2023-6316)	Nessus	Oracle Linux Local Security Checks	2023/11/16	2025/9/9	high

偵測

搜尋 Plugin

high

high

high

high

high

critical

high

high

critical

critical

critical

high

critical

high