遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2023: 0552 公告中提及的多個弱點影響。

  - jquery：透過跨網域 ajax 要求發起跨網站指令碼攻擊 (CVE-2015-9251)

  - bootstrap：data-target 屬性中存在 XSS (CVE-2016-10735)

  - nodejs-moment：規則運算式拒絕服務 (CVE-2017-18214)

  - bootstrap：折疊 data-parent 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14040)

  - bootstrap：scrollspy 的 data-target 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14041)

  - bootstrap：工具提示的 data-container 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14042)

  - jquery：物件原型中存在原型污染，會導致拒絕服務、遠端程式碼執行或屬性插入 (CVE-2019-11358)

  - bootstrap：工具提示或彈出框 data-template 屬性中存在 XSS 弱點 (CVE-2019-8331)

  - jquery：存在跨網站指令碼，這是 injQuery.htmlPrefilter 方法不當所致 (CVE-2020-11022)

  - jquery：透過傳遞給 DOM 操作方法的 HTML 中的 <option> 標記，進行不受信任的程式碼執行 (CVE-2020-11023)

  - wildfly-elytron：可能透過使用不安全的比較器進行計時攻擊 (CVE-2022-3143)

  - jettison: 由 stackoverflow 造成的剖析器損毀 (CVE-2022-40149)

  - jettison: 透過使用者提供的 XML 或 JSON 資料耗盡記憶體 (CVE-2022-40150)

  -woodstox-core：序列化 XML 資料的 woodstox 容易遭受拒絕服務攻擊 (CVE-2022-40152)

  - jackson-databind：深層包裝函式陣列巢狀 wrt UNWRAP_SINGLE_VALUE_ARRAYS (CVE-2022-42003)

  - jackson-databind：使用深度巢狀陣列 (CVE-2022-42004)

  - mina-sshd：Java 不安全的還原序列化弱點 (CVE-2022-45047)

  - jettison: 如果 map 中的值是 map 本身，新的 JSONObject(map) 會造成 StackOverflowError，進而可能導致 dos (CVE-2022-45693)

  - Apache CXF：SSRF 弱點 (CVE-2022-46364)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 woodstox-core 版本為 4.1.2-8 之前的版本。因此，會受到 ALAS2-2024-2463 公告中提及的一個弱點影響。

  - 如果啟用 DTD 支援，使用 Woodstox 剖析 XML 資料的使用者可能容易遭受拒絕服務攻擊 (DOS)。如果針對使用者提供的輸入執行此剖析器，則攻擊者可提供特別構建的內容，造成剖析器因堆疊溢位而損毀。此影響可能有助於發動拒絕服務攻擊。(CVE-2022-40152)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle JDeveloper 版本缺少一個安全性修補程式。因此，此產品受到 2024 年 7 月 CPU 公告中提及的拒絕服務弱點影響。Oracle Fusion Middleware 的 Oracle JDeveloper 產品中存在弱點 (元件：Oracle JDeveloper (Woodstox))。受影響的支援版本是 12.2.1.4.0。攻擊此弱點的難度較小，未經驗證的攻擊者可經由 HTTP 存取網路，進而入侵 Oracle JDeveloper。若攻擊成功，攻擊者可在未經授權的情況下造成 Oracle JDeveloper 懸置或經常重複性當機 (完全 DOS)。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle Business Intelligence Enterprise Edition (OAS) 7.0.0.0 受到 2024 年 7 月 CPU 公告中提及的多個弱點影響，包括：

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 產品中的弱點 (元件：Analytics Server (Stanford CoreNLP))。受影響的支援版本是 7.0.0.0.0。利用此弱點的難度較低，透過 HTTP 存取網路的未經驗證的攻擊者可以藉此入侵 Oracle Business Intelligence Enterprise Edition。若成功攻擊此弱點，攻擊者可接管 Oracle Business Intelligence Enterprise Edition。(CVE-2022-0239)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 產品中的弱點 (元件：Analytics Server (OpenSSL))。受影響的支援版本是 7.0.0.0.0、7.6.0.0.0 和 12.2.1.4.0。攻擊此弱點的難度較低，未經驗證的攻擊者若登入執行 Oracle Business Intelligence Enterprise Edition 的基礎結構，即可利用此弱點入侵 Oracle Business Intelligence Enterprise Edition。若要成功攻擊，必須有攻擊者以外之他人的互動。若攻擊成功，攻擊者未經授權即可導致 Oracle Business Intelligence Enterprise Edition 懸置或經常重複性當機 (完全 DOS)。(CVE-2024-0727)

  - Oracle Analytics 的 Oracle Business Intelligence Enterprise Edition 產品中的弱點 (元件：Analytics Web Answers)。受影響的支援版本是 7.0.0.0.0、7.6.0.0.0 和 12.2.1.4.0。利用此弱點的難度較低，透過 HTTP 存取網路的低權限攻擊者可以藉此入侵 Oracle Business Intelligence Enterprise Edition。若要成功攻擊，必須要與除攻擊者以外的其他人進行人爲互動。雖然弱點位於 Oracle Business Intelligence Enterprise Edition 中，但攻擊可能對其他產品造成重大影響 (範圍改變)。若成功攻擊此弱點，攻擊者未經授權即可對部分 Oracle Business Intelligence Enterprise Edition 可存取資料執行更新、插入或刪除作業，並且可以未經授權讀取 Oracle Business Intelligence Enterprise Edition 可存取資料中的部分資料。(CVE-2024-21139)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - 如果啟用 DTD 支援，使用 Woodstox 剖析 XML 資料的使用者可能容易遭受拒絕服務攻擊 (DOS)。如果針對使用者提供的輸入執行此剖析器，則攻擊者可提供特別構建的內容，造成剖析器因堆疊溢位而損毀。此影響可能有助於發動拒絕服務攻擊。(CVE-2022-40152)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2023:3299 公告中提及的多個弱點影響。

  - google-oauth-client：Native App 中缺少符合 RFC for OAuth 2.0 的 PKCE 支援可能會導致不當授權 (CVE-2020-7692)

  - kubernetes-client：unmarshalYaml 方法中的還原序列化不安全 (CVE-2021-4178)

  - jackson-databind：使用 JDK 序列化來序列化 JsonNode 時可能發生 DoS (CVE-2021-46877)

  - springframework：RegexRequestMatcher 中的授權繞過 (CVE-2022-22978)

  - com.google.code.gson-gson：com.google.code.gson-gson 對未受信任的資料執行反序列化 (CVE-2022-25647)

  - xstream： 序列化 XML 資料的 Xstream 容易遭受拒絕服務攻擊 (CVE-2022-40151)

  - woodstox-core：序列化 XML 資料的 woodstox 容易遭受拒絕服務攻擊 (CVE-2022-40152)

  - apache-commons-text：變數內插 RCE (CVE-2022-42889)

  - jenkins-2-plugins/script-security：Jenkins 指令碼安全性 Plugin 中的沙箱繞過弱點 (CVE-2023-24422)

  - Apache Commons FileUpload：具有過多部分的 FileUpload DoS (CVE-2023-24998)

  - jenkins-2-plugins/JUnit：JUnit Plugin 中的已儲存 XSS 弱點 (CVE-2023-25761)

  - jenkins-2-plugins/pipeline-build-step：Pipeline: Build Step Plugin 中的已儲存 XSS 弱點 (CVE-2023-25762)

  - Jenkins：拒絕服務攻擊 (CVE-2023-27900、CVE-2023-27901)

  - Jenkins：可透過目錄瀏覽器存取工作區暫存目錄 (CVE-2023-27902)

  - Jenkins：與代理程式相關的錯誤堆疊追踪導致資訊洩漏 (CVE-2023-27904)

請注意，Nessus 並未測試這些問題，而是僅根據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8 主機上安裝的套件受到 RHSA-2023: 0553 公告中提及的多個弱點影響。

  - jquery：透過跨網域 ajax 要求發起跨網站指令碼攻擊 (CVE-2015-9251)

  - bootstrap：data-target 屬性中存在 XSS (CVE-2016-10735)

  - nodejs-moment：規則運算式拒絕服務 (CVE-2017-18214)

  - bootstrap：折疊 data-parent 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14040)

  - bootstrap：scrollspy 的 data-target 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14041)

  - bootstrap：工具提示的 data-container 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14042)

  - jquery：物件原型中存在原型污染，會導致拒絕服務、遠端程式碼執行或屬性插入 (CVE-2019-11358)

  - bootstrap：工具提示或彈出框 data-template 屬性中存在 XSS 弱點 (CVE-2019-8331)

  - jquery：存在跨網站指令碼，這是 injQuery.htmlPrefilter 方法不當所致 (CVE-2020-11022)

  - jquery：透過傳遞給 DOM 操作方法的 HTML 中的 <option> 標記，進行不受信任的程式碼執行 (CVE-2020-11023)

  - wildfly-elytron：可能透過使用不安全的比較器進行計時攻擊 (

遠端主機上安裝的 Oracle Business Intelligence Publisher (OAS) 受到 2023 年 10 月 CPU 公告中提及的一个弱點影響。

  - Oracle Analytics 的 BI Publisher 產品中存在的弱點 (元件：Development Operations (XStream))。受影響的支援版本是 6.4.0.0.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證的攻擊者可以藉此入侵 BI Publisher。若攻擊成功，攻擊者可在未經授權的情況下造成 BI Publisher 懸置或經常重複性當機 (完全 DOS)。(CVE-2022-40152)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2025:4437 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.3.13 是 Red Hat JBoss Enterprise Application Platform 7.3.12 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.3.13 版本資訊。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.3.13 是 Red Hat JBoss Enterprise Application Platform 7.3.12 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.3.13 版本資訊。

    安全性修正:

    * com.google.code.gson-gsoncom.google.code.gson-gson 中不受信任資料的還原序列化 [eap-7.3.z] (CVE-2022-25647)

    *woodstox-corewoodstox 序列化 XML 資料容易受到拒絕服務攻擊 [eap-7.3.z] (CVE-2022-40152)

    * xnioorg.xnio.StreamConnection.notifyReadClosed 記錄以除錯而非 stderr [eap-7.3.z] (CVE-2022-0084)

    * artemis-commonsApache ActiveMQ Artemis DoS [eap-7.3] (CVE-2022-23913)

    * Moment.jsmoment.locale 中的路徑遊走 [eap-7.3.z] (CVE-2022-24785)

    * jettison透過使用者提供的 XML 或 JSON 資料耗盡記憶體 [eap-7.3.z] (CVE-2022-40150)

    * snakeyaml因缺少集合的巢狀深度限製而導致拒絕服務 [eap-7.3.z] (CVE-2022-25857)

    * jettisonstackoverflow 造成剖析器損毀 [eap-7.3.z] (CVE-2022-40149)

    如需安全性問題的詳細資料，包括影響、CVSS 分數、致謝及其他相關資訊，請參閱〈參照〉一節列出的 CVE 頁面。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Oracle WebLogic Server 版本缺少 2023 年 4 月重大修補程式更新 (CPU) 中的安全性修補程式。因此，該主機會受到多個弱點影響，包括：

  - Oracle Fusion Middleware 的 Oracle WebLogic Server 產品中存在弱點 (元件：主控台 (Apache Commons FileUpload))。受影響的支援版本是 12.2.1.3.0、12.2.1.4.0 和 14.1.1.0.0 。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle WebLogic Server。若成功攻擊此弱點，可能導致未經授權即可造成 Oracle WebLogic Server 懸置或經常重複性當機 (完全 DOS)。
    (CVE-2023-24998)

  - Oracle Fusion Middleware 的 Oracle WebLogic Server 產品中存在弱點 (元件：範例 (XStream))。受影響的支援版本是 12.2.1.4.0 和 14.1.1.0.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle WebLogic Server。若攻擊成功，攻擊者可在未經授權的情況下造成 Oracle WebLogic Server 懸置或經常重複性當機 (完全 DOS)。(CVE-2022-40152)

  - Oracle Fusion Middleware 的 Oracle WebLogic Server 產品中存在弱點 (元件：第三方 (Apache Commons Compress))。受影響的支援版本是 12.2.1.4.0 和 14.1.1.0.0。攻擊此弱點的難度較小，經由 HTTP 存取網路的未經驗證攻擊者可藉此入侵 Oracle WebLogic Server。若攻擊成功，攻擊者可在未經授權的情況下造成 Oracle WebLogic Server 懸置或經常重複性當機 (完全 DOS)。(CVE-2021-36090)

  請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2025:4226 公告中提及的多個弱點影響。

    Red Hat JBoss Enterprise Application Platform 7 是一個以 WildFly 應用程式執行時間為基礎的 Java 應用程式平台。本版本 Red Hat JBoss Enterprise Application Platform 7.1.10 是 Red Hat JBoss Enterprise Application Platform 7.1.9 的替代版本，其中包含錯誤修正和增強功能。如需此公告中包含的最重要的錯誤修正和增強功能的相關資訊，請參閱 Red Hat JBoss Enterprise Application Platform 7.1.9 版本資訊。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 9 主機上安裝的套件受到 RHSA-2023: 0554 公告中提及的多個弱點影響。

  - jquery：透過跨網域 ajax 要求發起跨網站指令碼攻擊 (CVE-2015-9251)

  - bootstrap：data-target 屬性中存在 XSS (CVE-2016-10735)

  - nodejs-moment：規則運算式拒絕服務 (CVE-2017-18214)

  - bootstrap：折疊 data-parent 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14040)

  - bootstrap：scrollspy 的 data-target 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14041)

  - bootstrap：工具提示的 data-container 屬性中存在跨網站指令碼 (XSS) 弱點 (CVE-2018-14042)

  - jquery：物件原型中存在原型污染，會導致拒絕服務、遠端程式碼執行或屬性插入 (CVE-2019-11358)

  - bootstrap：工具提示或彈出框 data-template 屬性中存在 XSS 弱點 (CVE-2019-8331)

  - jquery：存在跨網站指令碼，這是 injQuery.htmlPrefilter 方法不當所致 (CVE-2020-11022)

  - jquery：透過傳遞給 DOM 操作方法的 HTML 中的 <option> 標記，進行不受信任的程式碼執行 (CVE-2020-11023)

  - wildfly-elytron：可能透過使用不安全的比較器進行計時攻擊 (

ID	名稱	產品	系列	已發布	已更新	嚴重性
170909	RHEL 7：Red Hat JBoss Enterprise Application Platform 7.4.9 安全性更新 (重要) (RHSA-2023: 0552)	Nessus	Red Hat Local Security Checks	2023/1/31	2025/1/24	critical
190692	Amazon Linux 2：woodstox-core (ALAS-2024-2463)	Nessus	Amazon Linux Local Security Checks	2024/2/19	2024/12/11	high
205003	Oracle JDeveloper DoS (2024 年 7 月 CPU)	Nessus	Misc.	2024/8/6	2025/2/26	high
202907	Oracle Business Intelligence Enterprise Edition (OAS 7.0) (2024 年 7 月 CPU)	Nessus	Misc.	2024/7/22	2024/7/23	critical
252500	Linux Distros 未修補的弱點：CVE-2022-40152	Nessus	Misc.	2025/8/20	2025/8/31	high
194250	RHEL 8：jenkins 和 jenkins-2-plugins (RHSA-2023:3299)	Nessus	Red Hat Local Security Checks	2024/4/28	2024/11/7	critical
170914	RHEL 8：Red Hat JBoss Enterprise Application Platform 7.4.9 安全性更新 (重要) (RHSA-2023: 0553)	Nessus	Red Hat Local Security Checks	2023/1/31	2025/1/24	critical
183411	Oracle Business Intelligence Publisher 6.4 (OAS) (2023 年 10 月 CPU)	Nessus	Misc.	2023/10/19	2023/10/20	high
235116	RHEL 7Red Hat JBoss Enterprise Application Platform 7.3.13 (RHSA-2025:4437)	Nessus	Red Hat Local Security Checks	2025/5/5	2025/6/5	high
174464	Oracle WebLogic Server (2023 年 4 月 CPU)	Nessus	Misc.	2023/4/19	2023/12/12	high
237013	RHEL 7：RHEL 7 上的 Red Hat JBoss Enterprise Application Platform 7.1.10 (RHSA-2025:4226)	Nessus	Red Hat Local Security Checks	2025/5/21	2025/6/5	high
170911	RHEL 9：Red Hat JBoss Enterprise Application Platform 7.4.9 安全性更新 (重要) (RHSA-2023: 0554)	Nessus	Red Hat Local Security Checks	2023/1/31	2025/1/24	critical

偵測

搜尋 Plugin

critical

high

high

critical

high

critical

critical

high

high

high

high

critical