根據應用程式自我報告的版本號碼，偵測到的 WordPress 應用程式受到下列多個弱點影響：

 - Link API 中的 SQL 插入攻擊弱點。

 - Plugins 畫面中的跨網站指令碼 (XSS) 弱點。

 - the_meta() 中的輸出逸出問題。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

San Diego Patch 4b 和 Patch 6 之前的 ServiceNow 版本受到登出功能中的反射式 XSS 弱點影響。這使未經驗證的遠端攻擊者可在目標 ServiceNow 使用者的瀏覽器內容中執行任意 JavaScript 程式碼。

低於 3.1.5 的 Okta Jira Authenticator 工具組版本受到反射式跨網站指令碼 (XSS) 弱點影響。未經驗證的遠端攻擊者可藉由在 `os_username` GET 參數中插入特定的承載，在有弱點的目標 Jira 執行個體使用者的瀏覽器內容中執行任意 JavaScript 程式碼。

在 dotCMS 3.0 至 22.02 的 ContentResource API 中發現一個問題。攻擊者可特製多部分表單要求，以發布最初未清理檔案名稱的檔案。這會允許目錄遊走，在此情況下，檔案會被儲存在預定的儲存位置之外。如果已啟用匿名內容建立，未經驗證的攻擊者可上傳可執行檔 (例如 .jsp 檔案)，進而導致遠端程式碼執行。

DotNetNuke CMS 5.0.0 至 9.1.0 版受到不安全的還原序列化弱點影響，此弱點可導致遠端程式碼執行 (RCE) 攻擊。DotNetNuke 使用 DNNPersonalization Cookie 來儲存匿名使用者的個人化選項。當應用程式提供自訂的 404 錯誤頁面 (預設設定) 時，會使用此 Cookie。

ThinkPHP Framework 5.1.x 至 5.1.31 中存在弱點。如果網站設定為偵錯模式，此弱點會允許攻擊者讀取系統上的任意檔案，這是不當清理使用者提供的輸入所導致。

適用於 Confluence Server 和 Data Center 的 Atlassian Questions For Confluence 應用程式會在 confluence-users 群組中，使用使用者名稱 disablesystemuser 和硬式編碼密碼建立 Confluence 使用者帳戶。未經驗證的遠端攻擊者如果知道此硬式編碼密碼，則可利用此弱點登入 Confluence，並存取 confluence-users 群組中的使用者可存取的所有內容。

解除安裝 Questions for Confluence 應用程式不能修復此弱點。未在解除安裝應用程式後自動移除該帳戶。

根據應用程式自我報告的版本號，遠端主機上執行的 Atlassian Jira 應用程式版本低於 8.13.22，介於 8.14.x 至 8.20.10 或 8.21.x 至 8.22.4 之間。因此，該應用程式受到以下弱點影響：

 - 任意 servlet 篩選繞過弱點，可導致驗證繞過或跨網站指令碼 (XSS) 攻擊。未經驗證的遠端攻擊者可繞過第一方和第三方應用程式使用的 Servlet 篩選器。視各應用程式所使用的篩選器及其使用方式不同，此問題造成的影響亦不同。(CVE-2022-26136)

 - 另一個 servlet 篩選叫用弱點可導致跨來源資源共用 (CORS) 繞過。當應用程式處理要求或回應時，未經驗證的遠端攻擊者可造成應用程式叫用其他 Servlet 篩選器。(CVE-2022-26137)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端主機上執行的 Atlassian Confluence 應用程式版本低於 7.4.17，或介於 7.5.x 至 7.13.7 版，或為 7.14.3 之前的 7.14.x 版、7.15.2 之前的 7.15.x 版、7.16.4 之前的 7.16.x 版、7.17.4 之前的 7.17.x 版或 7.18.0 版。因此，該應用程式受到以下弱點影響：

 - 任意 servlet 篩選繞過弱點，可導致驗證繞過或跨網站指令碼 (XSS) 攻擊。未經驗證的遠端攻擊者可繞過第一方和第三方應用程式使用的 Servlet 篩選器。視各應用程式所使用的篩選器及其使用方式不同，此問題造成的影響亦不同。(CVE-2022-26136)

 - 另一個 servlet 篩選叫用弱點可導致跨來源資源共用 (CORS) 繞過。當應用程式處理要求或回應時，未經驗證的遠端攻擊者可造成應用程式叫用其他 Servlet 篩選器。(CVE-2022-26137)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本，遠端 Web 伺服器上執行的 Drupal 執行個體是 7.91 之前的 7.x 版、9.3.19 之前的 9.3.x 版或 9.4.3 之前的 9.4.x 版。因此會受到多個弱點影響：

 - 在某些情況下，使用影像樣式系統產生衍生影像時，影像模組並未正確檢查對未儲存在標準公開檔案目錄中影像檔案的存取權。

 - 在某些情況下，Drupal 核心表單 API 會錯誤評估表單元素的存取權，這可能導致使用者能夠變更他們不應存取的資料。

 - SA-CORE-2020-012 和 SA-CORE-2019-010 的保護未一起正確運作。因此，如果網站設定為允許上傳副檔名為 htaccess 的檔案，則這些檔案的檔案名稱無法被正確清理。攻擊者可藉此繞過 Drupal 核心的預設 .htaccess 檔案所提供的保護，並可能在 Apache Web 伺服器上執行遠端程式碼。

 - Media oEmbed iframe 路由未正確驗證 iframe 網域設定，允許在主要網域環境中顯示嵌入內容。在某些情況下，這可導致跨網站指令碼弱點、洩漏 Cookie 或其他弱點。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

According to its self-reported version number, Moment.js is 2.18.x prior to 2.29.4. 因此，處理極長的特製字串時，可能會透過 from-string.js 中的 preprocessRFC2822() 函式受到一個規則運算式拒絕服務弱點影響。

Note that the scanner has not tested for these issues but has instead relied only on the application's self-reported version number.

Zimbra Collaboration (aka ZCS) allows an unauthenticated attacker to inject arbitrary memcache commands into a targeted instance. These memcache commands becomes unescaped, causing an overwrite of arbitrary cached entries.

成功惡意利用可能會導致洩漏目標使用者的純文字密碼。

Swagger UI 是一種流行的程式庫，用於美化 API 規格並將其呈現給使用者。Swagger UI 3.14.1 至 3.37.2 版受到一個 DOM 跨網站指令碼 (XSS) 弱點影響，這是因為過時的 `DomPurify` 內嵌程式庫，以及 Swagger UI 程式庫本身提供的一個允許擷取遠端 API 規格檔案的功能所致。

攻擊者可特製惡意的規格檔案並透過 Swagger UI 加以連結，藉此在受害使用者的內容中執行任意 JavaScript 並發動進階攻擊。

According to its self-reported version number, the version of PHP installed on the remote host is 8.1.x prior to 8.1.8. It is, therefore, affected by a heap buffer overflow vulnerability in finfo_buffer.

Note that the scanner has not tested for these issues but has instead relied only on the application's self-reported version number.

遠端主機上安裝的 phpMyAdmin 版本在設定指令碼中有一系列弱點，可遭濫用來執行跨網站指令碼 (XSS) 插入或 HTML 插入弱點。Note that the scanner has not tested for these issues but has instead relied only on the application's self-reported version number.

The version of phpMyAdmin installed on the remote web server is 4.9.x prior to 4.9.8 or 5.1.x prior to 5.1.2. 因此，其受到一個缺陷影響，其可能允許使用者繞過其帳戶的雙重驗證。Note that the scanner has not tested for these issues but has instead relied only on the application's self-reported version number.

The version of phpMyAdmin installed on the remote web server is 4.9.x prior to 4.9.6 or 5.0.x prior to 5.0.3. 因此，它會受到多個弱點影響。
 - 如果使用者按一下，可能會允許攻擊者特製惡意連結，進而導致跨網站指令碼攻擊 (XSS) 弱點。
 - 它可能允許攻擊者特製惡意搜尋要求，進而導致 SearchController 元件中出現 SQL 插入弱點。請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

ID	名稱	嚴重性
113365	WordPress 5.8.x < 5.8.5 多個弱點	medium
113364	WordPress 5.7.x < 5.7.7 多個弱點	medium
113363	WordPress 5.6.x < 5.6.9 多個弱點	medium
113362	WordPress 5.5.x < 5.5.10 多個弱點	medium
113361	WordPress 5.4.x < 5.4.11 多個弱點	medium
113360	WordPress 5.3.x < 5.3.13 多個弱點	medium
113359	WordPress 5.2.x < 5.2.16 多個弱點	medium
113358	WordPress 5.1.x < 5.1.14 多個弱點	medium
113357	WordPress 5.0.x < 5.0.17 多個弱點	medium
113356	WordPress 4.9.x < 4.9.21 多個弱點	medium
113355	WordPress 4.8.x < 4.8.20 多個弱點	medium
113354	WordPress 4.7.x < 4.7.24 多個弱點	medium
113353	WordPress 4.6.x < 4.6.24 多個弱點	medium
113352	WordPress 4.5.x < 4.5.27 多個弱點	medium
113351	WordPress 4.4.x < 4.4.28 多個弱點	medium
113350	WordPress 4.3.x < 4.3.29 多個弱點	medium
113349	WordPress 4.2.x < 4.2.33 多個弱點	medium
113348	WordPress 4.1.x < 4.1.36 多個弱點	medium
113347	WordPress 4.0.x < 4.0.36 多個弱點	medium
113346	WordPress 3.9.x < 3.9.37 多個弱點	medium
113345	WordPress 3.8.x < 3.8.39 多個弱點	medium
113344	WordPress 3.7.x < 3.7.39 多個弱點	medium
113341	ServiceNow 登出跨網站指令碼弱點	medium
113339	Okta Jira Authenticator < 3.1.5 跨網站指令碼弱點	medium
113336	DotCMS 3.x < 5.3.8.10 / 21.x < 21.06.7 / 22.x < 22.03 遠端程式碼執行	critical
113335	DotNetNuke 5.x < 9.1.1 遠端程式碼執行	high
113334	ThinkPHP Framework 5.1.x < 5.1.31 任意檔案讀取	medium
113328	Atlassian Questions For Confluence 2.7.34 / 2.7.35 / 3.0.2 硬式編碼憑證	critical
113327	Atlassian Jira 8.21.x < 8.22.4 多個 Servlet 篩選器弱點	critical
113326	Atlassian Jira 8.14.x < 8.20.10 多個 Servlet 篩選器弱點	critical
113325	Atlassian Jira < 8.13.22 多個 Servlet 篩選器弱點	critical
113324	Atlassian Confluence 7.18.x < 7.18.1 多個 Servlet 篩選器弱點	critical
113323	Atlassian Confluence 7.17.x < 7.17.4 多個 Servlet 篩選器弱點	critical
113322	Atlassian Confluence 7.16.x < 7.16.4 多個 Servlet 篩選器弱點	critical
113321	Atlassian Confluence 7.15.x < 7.15.2 多個 Servlet 篩選器弱點	critical
113320	Atlassian Confluence 7.14.x < 7.14.3 多個 Servlet 篩選器弱點	critical
113319	Atlassian Confluence 7.5.x < 7.13.7 多個 Servlet 篩選器弱點	critical
113318	Atlassian Confluence < 7.4.17 多個 Servlet 篩選器弱點	critical
113315	Drupal 7.x < 7.91 多個弱點	high
113314	Drupal 9.3.x < 9.3.19 多個弱點	high
113313	Drupal 9.4.x < 9.4.3 多個弱點	high
113312	Moment.js 2.18.x < 2.29.4 Regular Expression Denial of Service	high
113311	Zimbra Collaboration Server 8.8.x < 8.8.15 Patch 31 / 9.0.0 < 9.0.0 Patch 24 命令插入	high
113267	Swagger UI 3.14.0 < 3.38.0 跨網站指令碼	medium
113308	PHP 8.1.x < 8.1.8 Heap Overflow	critical
113307	phpMyAdmin 5.1.x < 5.1.2 Cross-Site Scripting	medium
113306	phpMyAdmin	medium
113305	phpMyAdmin 4.9.x < 4.9.8 雙重驗證繞過	medium
113304	phpMyAdmin 5.0.x < 5.0.3 Multiple Vulnerabilities	critical
113303	phpMyAdmin 4.9.x < 4.9.6 Multiple Vulnerabilities	critical

偵測

Web App Scanning 的 Component Vulnerability 系列

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

critical

high

medium

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

high

high

high

high

high

medium

critical

medium

medium

medium

critical

critical