遠端主機上安裝的 WordPress Oturia Smart Google Code Inserter Plugin 受到多個弱點影響：\n\n - 驗證繞過問題，讓未經驗證的攻擊者可以透過 sgcgoogleanalytic 參數插入任意 JavaScript 或 HTML 程式碼。\n - 透過舊的 POST 參數造成的 SQL 插入弱點。\n

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Newspaper Theme 受到權限提升問題影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本，遠端網頁伺服器上執行的 Joomla! 執行個體是 4.2.7 之前的 4.x。因此，會受到多個弱點影響。

 - 遺漏權杖檢查會導致處理安裝後訊息時出現 CSRF 弱點。(CVE-2023-23750)

 - 遺漏 ACL 檢查讓非超級管理員使用者可以存取 com_actionlogs。(CVE-2023-23751)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據回應標頭中自我報告的版本，遠端 Web 伺服器上託管的 vBulletin 版本低於 5.6.7 Patch Level 1、5.6.8 Patch Level 1 或低於 5.6.9 Patch Level 1，因此會透過 ajax/api/user/save 端點中的 user[searchprefs] 參數受到遠端程式碼執行弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本，遠端主機上安裝的 Webmin 比 1.910 舊。因此，它會受到遠端命令執行弱點影響

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本，遠端主機上安裝的 Webmin 比 1.920 舊。因此，它會受到遠端命令執行弱點影響

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本，遠端主機上託管的 Webmin 版本介於1.890 至 1.920 之間。因此，它受到命令執行弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本，遠端主機上安裝的 Webmin 比 1.940 舊。因此，它會受到 XML 外部實體弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本，遠端主機上安裝的 Webmin 比 1.950 舊。因此會受到多個弱點影響。

- 有一個資料驗證不當弱點會影響 Cluster Shell Commands 端點。

- 有一個跨網站指令碼弱點，在嘗試儲存 HTML 電子郵件時，會影響讀取使用者電子郵件模組/信箱端點的「save 」函式。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上安裝的 Webmin 比 1.970 舊。因此，它會受到遠端命令執行弱點影響

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上安裝的 Webmin 比 1.974 舊。因此會受到多個弱點影響。

- 一個跨網站要求偽造 (CSRF) 弱點，可能透過 Webmin 的處理程序功能，導致遠端程式碼執行 (RCE)。

- 一個反射式跨網站指令碼 (XSS) 弱點，可能透過 Webmin 的處理程序功能，導致遠端程式碼執行。

- 一個跨網站要求偽造 (CSRF) 弱點，可能透過 Webmin 的新增使用者功能建立特權使用者。

- 透過 Webmin 的排程 Cron 工作功能存在跨網站要求偽造 (CSRF) 弱點。

- 透過 Webmin 的排程 Cron 工作功能存在跨網站指令碼 (XSS) 弱點。

- 上傳與下載功能存在跨網站指令碼 (XSS) 弱點。

- 上傳與下載功能存在跨網站要求偽造 (CSRF) 弱點。

- 新增使用者功能存在跨網站指令碼 (XSS) 弱點。

- 檔案管理器功能存在跨網站指令碼 (XSS) 弱點。

- 檔案管理器功能存在跨網站要求偽造 (CSRF) 弱點。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上安裝的 Webmin 比 1.990 舊。因此會受到多個弱點影響。

- 遠端程式碼執行的不當存取控制

- 不當授權

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上安裝的 Webmin 比 1.991 舊。因此，它會受到遠端程式碼執行弱點影響

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本，遠端主機上安裝的 Webmin 比 1.996 舊。因此，它會受到跨網站指令碼弱點影響

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上安裝的 Webmin 比 1.997 舊。因此，它會受到遠端程式碼執行弱點影響

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端主機上安裝的 Webmin 比 2.003 舊。因此，它會受到多個弱點影響:

- 透過「叢集 Cron 工作」索引標籤「輸入」欄位發生的跨網站指令碼攻擊

- xterm/index.cgi 檔案的不明函式中存在跨網站指令碼問題

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 WordPress WP Helper Lite Plugin 受到未經驗證的跨網站指令碼弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

Control Web Panel (CWP，舊稱 CentOS Web Panel) 是免費的 Linux 控制面板軟體。CWP 0.9.8.1147 之前版本透過 `/login/index.php` 端點上的 `login` GET 參數受到作業系統命令插入弱點影響。未經驗證的攻擊者可利用此弱點，針對目標應用程式發動遠端程式碼執行攻擊，並全面入侵目標伺服器。

根據其自我報告的版本，遠端 Web 伺服器上執行的 Drupal 執行個體是 9.4.10 之前的 9.4.x 版、9.5.2 之前的 9.5.x 版或 10.0.2 之前的 10.0.x 版。因此，它會受到 Media Library 模組中的資訊洩漏弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其標題，遠端主機上執行的 Apache 版本是比 2.4.55 舊的 2.4.x 版。因此會受到多個弱點影響：

 - 透過特製的 If: 要求標頭，可在超出所傳送標頭值的集區堆積記憶體位置中造成記憶體讀取或寫入單一零位元組。這可造成處理程序損毀。(CVE-2006-20001)

 - Apache HTTP Server 的 mod_proxy_ajp 中存在 HTTP 要求走私弱點，攻擊者可利用此弱點將要求走私到其轉送要求的目標 AJP 伺服器。(CVE-2022-36760)

 - 惡意後端可造成回應標頭被提早截斷，進而導致某些標頭被合併到回應內文中。如果較新版本中的標頭具有任何安全性目的，則用戶端將不會對其進行解譯。(CVE-2022-26377)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

SugarCRM < 11.0.5 版 (Professional、Enterprise、Ultimate、Sell、Serve) 和 12.0.x < 12.0.2 (Enterprise、Sell、Serve) 版受到驗證繞過弱點影響，讓攻擊者可以透過 'EmailTemplates' 模組上傳惡意程式碼。攻擊者可利用此弱點，針對目標應用程式發動遠端程式碼執行攻擊。

遠端主機上安裝的 WordPress Login With Phone Number Plugin 受到跨網站指令碼弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Quick Event Manager Plugin 受到跨網站指令碼弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Survey Maker Plugin 受到 SQL 插入攻擊弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Easy Digital Downloads Plugin 受到未經驗證的 SQL 插入弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Paid Memberships Pros Plugin 受到未經驗證的 SQL 插入弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

Apache Spark 3.2.1 和更低版本以及 3.3.0 版中具有儲存型跨網站指令碼 (XSS) 弱點，遠端攻擊者可以在記錄中包含惡意承載，然後這些承載會在 UI 中轉譯的記錄中傳回，藉由這種方式，攻擊者可在使用者的 Web 瀏覽器中執行任意 JavaScript。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號碼，遠端主機上執行的 Kibana 應用程式為 7.0.0 之前的 6.7.0 版。因此，此應用程式會受到以下弱點影響： 

- Upgrade Assistant 中的原型污染弱點 (CVE-2020-7012)

- TSVB 視覺化中的原型污染弱點 (CVE-2020-7013)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號碼，遠端主機上執行的 Kibana 應用程式為 7.7.1 之前的 5.4.0 版。因此，此應用程式會受到以下弱點影響： 

- TSVB 視覺化中的跨網站指令碼弱點 (CVE-2020-7015)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端主機上執行的 Kibana 應用程式為 7.8.1 之前版本。因此，此應用程式會受到以下弱點影響： 

- Timelion 中的規則運算式拒絕服務弱點 (CVE-2020-7016)

- 區域地圖視覺化中的跨網站指令碼弱點 (CVE-2020-7017)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端主機上執行的 Kibana 應用程式為 7.12.1 之前版本。因此，此應用程式會受到以下弱點影響： 

- webhook 動作中存在拒絕服務弱點，這是缺少逾時或要求大小限制所造成 (CVE-2021-22139)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號碼，遠端主機上執行的 Kibana 應用程式為 7.15.2 之前的 7.8.0 版。因此，此應用程式會受到以下弱點影響： 

- Windows 作業系統上的路徑遊走弱點 (CVE-2021-37938)

- Kibana 的 JIRA 連接器和 IBM Resilient 連接器中的資訊洩漏 (CVE-2021-37939)

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據應用程式自我報告的版本號碼，遠端主機上執行的 Kibana 應用程式為 7.17.0 之前的 7.5.1 版。因此，此應用程式會受到以下弱點影響： 

- Kibana 索引模式中的跨網站指令碼弱點 (CVE-2022-23707)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號碼，遠端主機上執行的 Kibana 應用程式為 7.2.1 至 7.17.2 或 8.0.0 至 8.1.3 版。因此，此應用程式會受到以下弱點影響： 

- 與 Kibana 頁面來源中的 Elastic Stack 監控相關的敏感資訊洩漏弱點 (CVE-2022-23711)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號碼，遠端主機上執行的 Kibana 應用程式為 7.0.0 至 7.17.5 或 8.0.0 至 8.3.0 版。因此，此應用程式會受到以下弱點影響： 

- Vega 圖表中的跨網站指令碼弱點 (CVE-2022-23713)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號碼，遠端主機上執行的 Kibana 應用程式為 5.6.1 之前的 5.0.0 版。因此，該應用程式受到以下弱點影響：

 - Timelion 中存在跨網站指令碼 (XSS) 弱點，攻擊者可利用此弱點來取得敏感資訊，或以其他 Kibana 使用者的身分執行破壞性動作。(CVE-2017-11479)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號碼，遠端主機上執行的 Kibana 應用程式為 7.12.1 之前的 7.11.0 版。因此，此應用程式會受到以下弱點影響： 

- App Search 的 Web 抓取工具 beta 功能中存在 XML 外部實體弱點 (CVE-2021-22140)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端主機上執行的 Kibana 應用程式為 7.12.0 之前版本。因此，此應用程式會受到以下弱點影響： 

- 由於未遵循 xpack.security.session.idleTimeout 設定，導致逾時繞過弱點 (CVE-2021-22136)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號碼，遠端主機上執行的 Kibana 應用程式為 6.8.16 之前版本，或 7.13.0 之前的 7.0.0 版。因此，此應用程式會受到以下弱點影響： 

- 透過惡意特製的 URL 造成開放式重新導向弱點 (CVE-2021-22141)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端主機上執行的 Kibana 應用程式為 7.14.1 之前版本。因此，此應用程式會受到以下弱點影響： 

- 舊版 js-yaml 導致的程式碼執行弱點 (CVE-2021-22150)

- 由於未清理包含 html 片段的文件欄位，導致 HTML 插入弱點 (CVE-2021-22151)

- 透過 .pbf 檔案造成的路徑遊走弱點 (CVE-2021-37936)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號碼，遠端主機上執行的 Kibana 應用程式為 7.17.1 之前的 7.15.x 版。因此，此應用程式會受到以下弱點影響： 

- 從 6.x 升級至 7.x 版時會發生權限提升，這會停用安全性索引的內建保護 (CVE-2022-23708)

- 資料預覽窗格中的跨網站指令碼弱點 (CVE-2022-23710)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端主機上執行的 Kibana 應用程式版本介於 7.7.0 至 7.17.1 之間或為 8.0.0 版。因此，此應用程式會受到以下弱點影響： 

- 缺少授權的問題，導致具有 Uptime 功能讀取存取權的使用者可修改警示規則 (CVE-2022-23709)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

ID	名稱	嚴重性
113572	Oturia Smart Google Code Inserter Plugin for WordPress < 3.5 多個弱點	critical
113571	Newspaper Theme for WordPress 6.4 < 6.7.2 權限提升	critical
113570	Joomla! 4.x < 4.2.7 多個弱點	medium
113569	vBulletin < 5.6.7 Patch Level 1 / < 5.6.8 Patch Level 1 / < 5.6.9 Patch Level 1 遠端程式碼執行	critical
113568	Webmin < 1.910 遠端命令執行	high
113567	Webmin < 1.920 遠端命令執行	high
113566	Webmin < 1.930 遠端命令執行	critical
113565	Webmin < 1.940 XML 外部實體	medium
113564	Webmin < 1.950 多個弱點	medium
113563	Webmin < 1.970 遠端命令執行	high
113562	Webmin < 1.974 多個弱點	critical
113561	Webmin < 1.990 多個弱點	high
113560	Webmin < 1.991 多個弱點	high
113559	Webmin < 1.996 跨網站指令碼	medium
113558	Webmin < 1.997 遠端程式碼執行	critical
113557	Webmin < 2.003 多個弱點	medium
113552	WP Helper Lite Plugin for WordPress < 4.3 跨網站指令碼	medium
113546	Control Web Panel < 0.9.8.1147 遠端程式碼執行	critical
113549	Drupal 9.4.x < 9.4.10 資訊洩漏	medium
113548	Drupal 9.5.x < 9.5.2 資訊洩漏	medium
113547	Drupal 10.0.x < 10.0.2 資訊洩漏	medium
113545	Apache 2.4.x < 2.4.55 多個弱點	critical
113537	SugarCRM < 11.0.5 / 12.0.x < 12.0.2 遠端程式碼執行	high
113544	Login With Phone Number Plugin for WordPress < 1.4.2 跨網站指令碼	high
113543	Quick Event Manager Plugin for WordPress < 9.7.5 跨網站指令碼	medium
113542	Survey Maker Plugin for WordPress < 3.1.2 SQL 插入	high
113541	Easy Digital Downloads Plugin for WordPress 3.1.0.2 < 3.1.0.4 SQL 插入	critical
113540	Paid Memberships Pro Plugin for WordPress < 2.9.8 SQL 插入	critical
113539	Apache Spark < 3.2.2 儲存型跨網站指令碼	medium
113538	Apache Spark 3.3.0 儲存型跨網站指令碼	medium
113536	Kibana 6.7.0 < 7.7.0 原型污染	high
113535	Kibana < 7.7.1 跨網站指令碼	medium
113534	Kibana < 7.8.1 多個弱點	medium
113533	Kibana < 7.12.1 拒絕服務	medium
113532	Kibana 7.8.0 < 7.15.2 多個弱點	medium
113531	Kibana 7.5.1 < 7.17.0 跨網站指令碼	medium
113530	Kibana 8.0.0 < 8.1.3 敏感資訊洩漏	medium
113529	Kibana 7.2.1 < 7.17.3 敏感資訊洩漏	medium
113528	Kibana 8.0.0 < 8.3.0 跨網站指令碼	medium
113527	Kibana 5.0.0 < 5.6.1 跨網站指令碼	medium
113526	Kibana 7.11.0 < 7.12.1 拒絕服務	high
113525	Kibana < 7.12.0 逾時繞過	low
113524	Kibana 7.x < 7.13.0 開放式重新導向	medium
113523	Kibana < 6.8.16 開放式重新導向	medium
113522	Kibana 7.9.0 < 7.14.1 路徑遊走	high
113521	Kibana 7.10.2 < 7.14.1 程式碼執行	high
113520	Kibana 7.14.0 HTML 插入	high
113519	Kibana 7.15.0 < 7.17.1 多個弱點	medium
113518	Kibana 7.0.0 < 7.17.5 跨網站指令碼	medium
113517	Kibana 8.0.0 授權不足	medium

偵測

Web App Scanning 的 Component Vulnerability 系列

critical

critical

medium

critical

high

high

critical

medium

medium

high

critical

high

high

medium

critical

medium

medium

critical

medium

medium

medium

critical

high

high

medium

high

critical

critical

medium

medium

high

medium

medium

medium

medium

medium

medium

medium

medium

medium

high

low

medium

medium

high

high

high

medium

medium

medium