遠端主機上安裝的 WordPress WP-PostViews Plugin 受到跨網站要求偽造弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress WP eCommerce Plugin 受到 SQL 插入攻擊弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress WP-Print Plugin 受到跨網站要求偽造弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress WP Photo Album Plus Plugin 受到多個跨網站指令碼弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress WP EasyCart Plugin 受到不受限制的檔案上傳弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress WP Go Maps Plugin 受到跨網站指令碼弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Auth0 Plugin 受到多個儲存型跨網站指令碼弱點和一個跨網站要求偽造弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress WP Data Access Plugin 受到 SQL 插入攻擊弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress WP Visitor Statistics Plugin 受到 SQL 插入攻擊弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress WP DBManager Plugin 受到程式碼插入和 OS 命令插入攻擊弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress WP DBManager Plugin 受到程式碼插入攻擊弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Affiliates Manager Plugin 受到跨網站指令碼弱點和 CSV 插入弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress WP Maintenance Plugin 受到儲存型跨網站指令碼弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress WP-Pools Plugin 受到爭用條件弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Wordfence Security Plugin 受到儲存型跨網站指令碼弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Yoast SEO Plugin 受到多個跨網站要求偽造弱點和多個 SQL 插入攻擊弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端 Web 伺服器上安裝的 phpMyAdmin 版本為 4.9.10 之前的 4.9.x 版或 5.1.3 之前的 5.1.x 版。因此，它會受到資訊洩漏弱點影響，此弱點會洩漏執行 phpMyAdmin 之磁碟上的路徑。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

wp-cron.php 檔案負責 WordPress 網站中的排程事件。根據預設，提出要求時，WordPress 會從該要求產生對 wp-cron.php 檔案的額外要求。因此，藉由產生大量網站要求，可使網站對自身執行 DoS 攻擊。

根據其標題，遠端主機上執行的 lighttpd 版本比 1.4.54 舊。因此，它會受到帶符號的整數溢位弱點影響，此弱點允許遠端攻擊者造成拒絕服務問題。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據標題，遠端主機上執行的 lighttpd 版本為 1.4.56、1.4.57 或 1.4.58。因此，它會受到拒絕服務弱點影響，原因是 connections.c 中的 connection_read_header_more 有錯字，會中斷大型標頭上使用的多個讀取作業。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，Lodash 的版本低於 4.17.5。因此，它會受到 merge、mergeWith 和 defaultsDeep 函式中的原型污染弱點影響，攻擊者可誘騙其使用建構函式承載來新增或修改 Object.prototype 的屬性。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，Lodash 的版本低於 4.17.11。因此，它會受到 merge、mergeWith 和 defaultsDeep 函式中的原型污染弱點影響，攻擊者可誘騙其使用建構函式承載來新增或修改 Object.prototype 的屬性。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

在 GLPI 9.1 至 10.0.3 版中，透過 REST API 上的 'user_token' 參數，可導致未經驗證的 SQL 插入攻擊。攻擊者可利用此插入來模擬任意使用者登入。

啟用 API Rest 的 GLPI 9.1 < 9.5.6 版容易受到透過自訂標頭插入造成的 API 繞過弱點影響。

掃描程式使用其登入表單上的可預測憑證，成功通過 GLPI Web 應用程式的驗證。

在 GLPI 9.3.4 之前版本中，透過 'unlock_tasks.php' 頁面上的 'cycle' 參數，可導致未經驗證的 SQL 插入攻擊。

根據應用程式自我報告的版本號，遠端主機上執行的 Atlassian Crowd 會受到設定錯誤弱點的影響。此弱點允許攻擊者透過安全性錯誤設定以及隨後在 Crowd 的 REST API 中呼叫特權端點的能力，通過 crowd 應用程式驗證。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端主機上執行的 Atlassian Bitbucket 應用程式受到命令注入弱點的影響。有權控制使用者名稱的攻擊者可利用此問題，在系統中執行任意程式碼。如果 Bitbucket Server 和 Data Center 執行個體已啟用「允許公開註冊」，則攻擊者未經驗證即可利用此弱點。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

在 1.2.9 之前的版本中，HTMLawed 模組中的 htmLawedTest.php 允許 PHP 程式碼插入。

Sitecore CMS 6.6.3 到 XP 版本 8.2.7 以及 XP 版本 9.x 的 9.1.1 以下版本受到 CSRF 管理程式庫中的還原序列化弱點影響。遠端攻擊者可藉由在 `CreateNewUser.aspx` 端點上特製特定的 HTTP 要求，在目標 Sitecore 執行個體上實現遠端程式碼執行。

請注意，8.2.7 以下版本無需驗證即可遭到攻擊 (CVE-2019-9874)，而 9.x < 9.1.1 版則需要經過驗證 (CVE-2019-9875)。

WordPress 有一個核心功能和外掛程式，可讓內容管理員將文章傳送至設定的電子郵件地址，藉此在部落格上發布貼文。掃描程式偵測到目標 WordPress 執行個體已設定此核心功能或特定的外掛程式。

Apache Commons Text 可執行變數插補，允許動態評估和擴展屬性。插補的標準格式為 ${prefix: name}，其中 prefix 用於尋找執行插補的 org.apache.commons.text.lookup.StringLookup 執行個體。從 1.5 版直到 1.9 版，預設的 Lookup 執行個體組包含可導致任意程式碼執行或與遠端伺服器聯絡的內插程式。

根據其自我報告的版本，遠端網頁伺服器上執行的 Joomla! 執行個體是 4.2.5 之前的 4.x。因此，它會受到跨網站指令碼 (XSS) 弱點影響，這是未充分篩選 com_media 中潛在的惡意使用者輸入所導致。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端主機上安裝的 PHP 是 7.4.33 之前的7.4.x 版、8.0.25 之前的 8.0.x 版或 8.1.12 之前的 8.1.x 版。因此會受到多個弱點影響：

 - 由於 imageloadfont() 中的輸入驗證不充分而導致 OOB 讀取。(CVE-2022-31630)

 - long 參數上的 hash_update() 中存在緩衝區溢位弱點。(CVE-2022-37454)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

Movable Type < 6.8.7 / 7.x < 7.8.5 包含 OS 命令插入弱點，透過傳送特製的 POST 要求至 XMLRPC API 即可利用此弱點。

Movable Type < 6.8.3 / 7.x < 7.8.2 包含 OS 命令插入弱點，透過傳送特製的 POST 要求至 XMLRPC API 即可利用此弱點。

ID	名稱	嚴重性
113476	WP-PostViews Plugin for WordPress < 1.63 跨網站要求偽造	high
113475	WP eCommerce Plugin for WordPress < 3.8.7.6 SQL 插入	critical
113474	WP-Print Plugin for WordPress < 2.52 跨網站要求偽造	high
113473	WP Photo Album Plus Plugin for WordPress < 6.1.3 多個跨網站指令碼弱點	medium
113472	WP EasyCart Plugin for WordPress < 3.0.9 不受限制的檔案上傳	high
113471	WP Go Maps Plugin for WordPress < 7.10.43 跨網站指令碼	medium
113470	Auth0 Plugin for WordPress < 4.0.0 多個弱點	high
113469	WP Data Access Plugin for WordPress < 5.0.0 SQL 插入	critical
113468	WP Visitor Statistics Plugin for WordPress < 5.6 SQL 插入	high
113467	WP DBManager Plugin for WordPress < 2.7.2 多個弱點	high
113466	WP DBManager Plugin for WordPress < 2.80.8 程式碼插入	high
113465	Affiliates Manager Plugin for WordPress < 2.9.14 多個弱點	high
113464	WP Maintenance Plugin for WordPress < 6.0.8 儲存型跨網站指令碼	medium
113463	WP Maintenance Plugin for WordPress < 6.0.6 儲存型跨網站指令碼	medium
113462	WP-Polls Plugin for WordPress < 2.77.0 儲存型跨網站指令碼	low
113461	Wordfence Security Plugin for WordPress < 7.6.0 儲存型跨網站指令碼	medium
113460	Yoast SEO Plugin for WordPress 1.7.x < 1.7.4 多個弱點	critical
113459	Yoast SEO Plugin for WordPress 1.6.x < 1.6.4 多個弱點	critical
113458	Yoast SEO Plugin for WordPress < 1.5.7 多個弱點	critical
113457	phpMyAdmin 4.9.x < 4.9.10 資訊洩漏	high
113456	phpMyAdmin 5.1.x < 5.1.3 資訊洩漏	high
113449	已啟用 WordPress Cron	medium
113454	lighttpd < 1.4.54 整數溢位	critical
113453	lighttpd 1.4.56 < 1.4.59 拒絕服務	high
113451	Lodash < 4.17.5 原型污染	medium
113450	Lodash < 4.17.11 原型污染	medium
113438	GLPI 9.1 < 10.0.3 SQL 插入	critical
113437	GLPI 9.1 < 9.5.6 Rest API IP 限制繞過	high
113436	GLPI 預設憑證	high
113435	GLPI < 9.3.4 SQL 插入	critical
113447	Atlassian Crowd 5.0.x < 5.0.3 設定錯誤	critical
113446	Atlassian Bitbucket 8.4.x < 8.4.2 命令插入	critical
113445	Atlassian Bitbucket 8.3.x < 8.3.3 命令插入	critical
113444	Atlassian Bitbucket 8.2.x < 8.2.4 命令插入	critical
113443	Atlassian Bitbucket 8.1.x < 8.1.5 命令插入	critical
113442	Atlassian Bitbucket 8.0.x < 8.0.5 命令插入	critical
113441	Atlassian Bitbucket 7.18.x < 7.21.6 命令插入	critical
113440	Atlassian Bitbucket 7.7.x < 7.17.12 命令插入	critical
113439	Atlassian Bitbucket < 7.6.19 命令插入	critical
113434	Atlassian Crowd < 4.4.4 設定錯誤	critical
113432	HTMLawed < 1.2.9 程式碼插入	critical
113431	Sitecore CMS/XP CSRF 遠端程式碼執行	critical
113428	已啟用 WordPress Post By Email	info
113427	Apache Commons Text 遠端程式碼執行 (Text4Shell)	critical
113429	Joomla! 4.x < 4.2.5 跨網站指令碼	medium
113426	PHP 7.4.x < 7.4.33 多個弱點	critical
113425	PHP 8.0.x < 8.0.25 多個弱點	critical
113424	PHP 8.1.x < 8.1.12 多個弱點	critical
113395	Movable Type < 6.8.7 / 7.x < 7.8.5 遠端命令插入	critical
113394	Movable Type < 6.8.3 / 7.x < 7.8.2 遠端命令插入	critical

偵測

Web App Scanning 的 Component Vulnerability 系列

high

critical

high

medium

high

medium

high

critical

high

high

high

high

medium

medium

low

medium

critical

critical

critical

high

high

medium

critical

high

medium

medium

critical

high

high

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

info

critical

medium

critical

critical

critical

critical

critical