掃描程式使用其登入表單上的可預測憑證，成功通過 Apache APISIX Web 應用程式的驗證。

2.10.1 之前的 Apache APISIX Dashboard 版本受到一個弱點影響，該弱點允許遠端攻擊者透過特製的要求，繞過驗證並存取敏感資源。

5.4.46 版之前的 Symfony、6.4.14 版之前的 6.x 或 7.1.7 版之前的 7.x，當 register_argc_argv php 指示詞設為 'on' 或使用者呼叫任何含有特製查詢字串的 URL 時會產生漏洞。他們可以更改處理要求時核心所使用的環境或除錯模式。

請注意，由於有弱點的 Symfony 元件內嵌在 Laravel 中，因此 plugin 可能會偵測到有弱點的 Laravel 執行個體。

5.3.0 之前的 8.11.4 版或 9.x 之前的 9.7.0 版使用 PKIAuthenticationPlugin (使用 Solr 驗證時預設啟用)，可讓攻擊者透過特製的偽造要求繞過驗證。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 版本比 3.5.8 之前的 2.5.0、比 4.0.4 之前的 4.0.x、4.1.2 之前的 4.1.x。因此，可能會受到登入時 LDAP 盲目插入的影響，其允許攻擊者從 LDAP 資料庫洩漏任意屬性。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 應用程式比 3.5.9 舊、比 4.0.5 之前的 4.0.x、比 4.1.3 之前的 4.1.x 舊 。因此，它會受到多個弱點影響：

- 已驗證的設定檔連結可能會以誤導的方式進行格式化 - 透過緩慢的 HTTP 回應引發拒絕服務 - 透過媒體附件建立任意檔案 - 透過 oEmbed 預覽卡片引發 XSS

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 應用程式比 3.5.14 舊、比 4.0.10 之前的 4.0.x、比 4.1.8 之前的 4.1.x 舊 。因此，它會受到多個弱點影響：

- 透過轉譯功能發生的已儲存 XSS - 伺服器端要求偽造 - 網域名稱標準化無效

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 應用程式比 3.5.18 舊、比 4.0.14 之前的 4.0.x、比 4.1.14 之前的 4.1.x、4.2.6 之前的 4.2.x。因此，它會受到多個弱點影響：

- 損毀 OAuth 應用程式時，並未通知串流存取權杖遭到損毀 - 電子郵件變更的外部 OpenID Connect 帳戶接管

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 版本比 3.5.17 舊、比 4.0.13 之前的 4.0.x、比 4.1.13 之前的 4.1.x、4.2.5 之前的 4.2.x。因此，可能受到遠端使用者模擬和接管的影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 版本比 3.5.19 舊、比 4.0.15 之前的 4.0.x、比 4.1.15 之前的 4.1.x、4.2.7 之前的 4.2.x。因此，可能會受到 Activity Streams 物件缺少媒體類型驗證的影響，而允許模擬遠端帳戶。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端主機上執行的 Mastodon 應用程式為 4.1.17 之前版本，或 4.2.9 之前的 4.2.x 版。因此，它會受到多個弱點影響：

- 可繞過私人提及篩選 - 遺漏密碼變更端點的速率限制 - 使用 X-Forwarded-For 標頭繞過速率限制

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端主機上執行的 Mastodon 應用程式為 4.1.18 之前版本，或 4.2.10 之前的 4.2.x 版。因此，它會受到多個弱點影響：

- 多個 API 端點的權限檢查不充分 - 對現有貼文的存取權延伸模組執行不當作者身份檢查 - 有一個與已撤銷 token 相關的問題在使用者撤銷應用程式的存取 token 後應用程式仍可透過 接收使用者的私密提及、通知等內容串流 API 的現有連線。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 版本比 4.1.20 舊或比 4.2.12 之前的 4.2.x 舊。因此，它可能會受到規則運算式拒絕服務 (ReDoS) 弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

SuiteCRM 7.14.4 之前版本和 8.x 至 8.6.1 版的事件回應進入點包含未經驗證的 SQL 插入弱點，因此攻擊者可透過特別偽造的要求來執行 SQL 查詢。

根據預設，Clockwork 不要求必須完成驗證才能存取儀表板。這使得攻擊者可以存取敏感資料，例如資料庫查詢和傳入要求。

這是一個資訊外掛程式，用於通知使用者掃描器在目標應用程式上偵測到可公開存取的 Clockwork 執行個體。

遠端主機上安裝的 WordPress GiveWP Plugin 受到 PHP 對象插入攻擊弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

1.2.96 之前的 Palo Alto Expedition 版本受到多個弱點影響：
 - 透過「/API/convertCSVtoParque.php」端點的未經驗證 OS 命令插入弱點 (CVE-2024-9264)
 - 未經驗證的 OS 命令插入弱點 (CVE-2024-9464)
 - 透過「CHECKPOINT.php」端點的未經驗證 SQL 插入弱點 (CVE-2024-9465)
 - 敏感資訊的純文字儲存弱點 (CVE-2024-9466)
 - 一個反映式跨網站指令碼弱點 (CVE-2024-9467)

根據其自我報告的版本，遠端網頁伺服器上執行的 Drupal 執行個體是 10.2.10 之前的 10.2.x 版。在某些不常見的網站組態下，CKEditor 5 模組中的錯誤可造成部分影像上傳作業將整個 webroot 移至檔案系統上的不同位置。惡意使用者可惡意利用此弱點來關閉網站。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Atlassian Confluence 應用程式版本為 7.19.25 之前版本、8.5.11 之前的 7.20.x 版或 8.9.3 之前的 8.6.x 版。因此，它受到儲存型跨網站指令碼 (XSS) 弱點的影響，使經驗證的攻擊者可以在受害者的瀏覽器上執行任意 HTML 或 JavaScript 程式碼，並且無需使用者互動。此弱點會對應用程式的機密性和完整性造成嚴重影響，但對可用性沒有影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress SEOPress 外掛程式受到一個 PHP 物件插入弱點影響，該弱點是透過還原序列化來自「title」參數的不受信任輸入所導致。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

XWiki 平台 7.0 版、14.4.8 之前的版本以及 14.5 之前的 14.10.4 版受到「SkinsCode.XWikiSkinsSheet」文件中的不當逸出問題影響。未經驗證的遠端攻擊者可利用此弱點，在受弱點影響的 XWiki 執行個體上實現權限提升，並實現程式碼執行。

Mura 和 Masa CMS (開放原始碼分支) 受到 JSON API 上的 SQL 插入弱點影響。透過特製特定 HTTP 要求，未經驗證的遠端攻擊者可惡意利用此弱點，取得存取資料庫的權限並執行任意作業。

Dolibarr 16.x < 16.0.5 版受到一個不當存取控制弱點影響，未經驗證的遠端攻擊者可藉此存取目標執行個體連絡人資料庫，包括公開和私密備註。

Apache Tapestry 5.4.0 < 5.6.2 和 5.7.0 < 5.7.1 版允許未經驗證的攻擊者透過特製的要求存取 Class 檔案。如果「tapestry.hmac-passphrase」的值被復原，攻擊者可惡意利用此弱點，在傳送表單時，透過「t:formdata」參數的值造成任意程式碼執行。

根據應用程式自我報告的版本號，遠端主機上安裝的 PHP 是 8.1.30 之前的8.1.x 版、8.2.24 之前的 8.2.x 版或 8.3.12 之前的 8.3.x 版。因此會受到多個弱點影響：

 - 造成繞過 CVE-2024-4577的參數插入弱點。(CVE-2024-8926)

 - 由於環境變數衝突，可繞過 cgi.force_redirect 組態。(CVE-2024-8927)

 - 來自子項目的記錄可能遭到更改。(CVE-2024-9026)

 - multipart 表單資料的錯誤剖析。(CVE-2024-8925)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

18.12.16 之前的 Apache OFBiz 版本受到一個弱點影響，未經驗證的遠端攻擊者可藉以在易受攻擊的系統上，將檔案任意寫入目標執行個體並執行遠端程式碼執行 (RCE)。

請注意，此 plugin 需要掃描組態中啟用「檔案上傳」評估選項。

遠端主機上安裝的 WordPress Social Warfare Plugin 受到已插入後門程式的影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Pods Plugin 受到已插入後門程式的影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

ID	名稱	嚴重性
114500	Apache APISIX 儀表板預設認證	high
114499	Apache APISIX Dashboard < 2.10.1 驗證繞過	critical
114497	Symfony < 5.4.46 / 6.x < 6.4.14 / 7.x < 7.1.7 不當輸入處理	high
114496	Apache Solr 5.3.0 < 8.11.4 / 9.x < 9.7.0 驗證繞過	critical
114495	Mastodon 4.1.x < 4.1.2 LDAP 插入	medium
114494	Mastodon 4.0.x < 4.0.4 LDAP 插入	medium
114493	Mastodon 2.5.0 < 3.5.8 LDAP 插入	medium
114492	Mastodon 4.1.x < 4.1.3 多個弱點	critical
114491	Mastodon 4.0.x < 4.0.5 多個弱點	critical
114490	Mastodon < 3.5.9 多個弱點	critical
114489	Mastodon < 4.1.8 多個弱點	high
114488	Mastodon < 4.0.10 多個弱點	high
114487	Mastodon < 3.5.14 多個弱點	high
114486	Mastodon 4.2.x < 4.2.6 多個弱點	high
114485	Mastodon 4.1.x < 4.1.14 多個弱點	high
114484	Mastodon 4.0.x < 4.0.14 多個弱點	high
114483	Mastodon < 3.5.18 多個弱點	high
114482	Mastodon < 4.2.5 驗證繞過	critical
114481	Mastodon < 4.1.13 驗證繞過	critical
114480	Mastodon < 3.5.17 驗證繞過	critical
114479	Mastodon 4.2.x < 4.2.7 不受限制的檔案上傳	high
114478	Mastodon 4.1.x < 4.1.15 不受限制的檔案上傳	high
114477	Mastodon 4.0.x < 4.0.15 不受限制的檔案上傳	high
114476	Mastodon < 3.5.19 不受限制的檔案上傳	high
114475	Mastodon 4.2.x < 4.2.9 多個弱點	high
114474	Mastodon < 4.1.17 多個弱點	high
114473	Mastodon 4.2.x < 4.2.10 多個弱點	high
114472	Mastodon < 4.1.18 多個弱點	high
114471	Mastodon 4.2.x < 4.2.13 規則運算式拒絕服務	high
114470	Mastodon < 4.1.20 規則運算式拒絕服務	high
114462	SuiteCRM < 7.14.4 / 8.x < 8.6.1 SQL 插入	critical
114461	Clockwork 不受限制的存取權限	critical
114460	偵測到 Clockwork	info
114458	GiveWP Plugin for WordPress < 3.16.4 遠端程式碼執行	critical
114457	Palo Alto Expedition < 1.2.96 多個弱點	critical
114456	Drupal 10.2.x < 10.2.10 不當錯誤處理	medium
114455	Atlassian Confluence 8.6.x < 8.9.3 跨網站指令碼弱點	high
114454	Atlassian Confluence 7.20.x < 8.5.11 跨網站指令碼弱點	high
114453	Atlassian Confluence < 7.19.25 跨網站指令碼弱點	high
114452	SEOPress Plugin for WordPress < 7.9 PHP 物件插入	critical
114451	XWiki Platform 7.0 < 14.4.8 / 14.5 < 14.10.4 遠端程式碼執行	high
114450	Mura/Masa CMS SQL 插入	critical
114449	Dolibarr 16.x < 16.0.5 資料庫下載	high
114448	Apache Tapestry 任意檔案讀取	critical
114447	PHP 8.1.x < 8.1.30 多個弱點	high
114446	PHP 8.2.x < 8.2.24 多個弱點	high
114445	PHP 8.3.x < 8.3.12 多個弱點	high
114444	Apache OFBiz < 18.12.16 遠端程式碼執行	high
114443	Social Warfare Plugin for WordPress 4.4.6.4 < 4.4.7.3 已插入後門程式	critical
114442	Pods Plugin for WordPress 3.2.3 已插入後門程式	critical

偵測

Web App Scanning 的 Component Vulnerability 系列

high

critical

high

critical

medium

medium

medium

critical

critical

critical

high

high

high

high

high

high

high

critical

critical

critical

high

high

high

high

high

high

high

high

high

high

critical

critical

info

critical

critical

medium

high

high

high

critical

high

critical

high

critical

high

high

high

high

critical

critical