遠端主機上安裝的 Jetty 版本處理的要求包含具有大量 quality (即 q) 參數的要求標頭，由於 CPU 使用率過高，伺服器可能進入拒絕服務 (DoS) 狀態。請注意，掃描程式並未測試此問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端 Web 伺服器上託管的 Jetty 執行個體為 9.4.39 之前版本、10.0.2 之前的 10.0.x 版或 11.0.2 之前的 11.0.x 版。因此會受到多個弱點影響：

 - CPU 使用率可因大型無效 TLS 幀而達到 100%。(CVE-2021-28165)

 - 以編碼路徑存取時，允許存取 WEB-INF 目錄內受保護的資源。(CVE-2021-28164)

 - 使用符號連結的 webapps 目錄時，webapps 目錄的內容會部署為靜態 webapp。(CVE-2021-28163)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端 Web 伺服器上託管的 Jetty 執行個體為 9.4.41 之前版本、10.0.3 之前的 10.0.x 版或 11.0.3 之前的 11.0.x 版。因此會受到多個弱點影響：

 - SessionListener#sessionDestroyed() 方法中發生例外狀況後，無法使工作階段失效。(CVE-2021-34428)

 - 以編碼路徑存取時，允許存取 WEB-INF 目錄內受保護的資源。(CVE-2021-28169)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 Jetty 版本包含瑕疵，允許使用者繞過安全性限制並存取受保護的資源。請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端主機上安裝的 PHP 是 7.3.31 之前的7.3.x 版、7.4.24 之前的 7.4.x 版或 8.0.11 之前的 8.x 版。因此，它會受到透過 ZipArchive: : extractTo() 導致的路徑遊走弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，Underscore.js 的版本介於 1.3.2 至 1.12.1 或 1.13.x 至 1.13.0-2 之間。因此，自 _.templateSettings 提取變數選項時，它可能會受到透過範本函式造成的任意程式碼插入弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其標題，遠端主機上執行的 Apache 版本是比 2.4.49 舊的 2.4.x 版。因此會受到多個弱點影響：

 - 透過 HTTP/2 傳送的特製方法會繞過驗證並由 mod_proxy 轉送，這可導致要求分割或快取毒害。(CVE-2021-33193)

 - 格式錯誤的要求可能造成伺服器解除參照 NULL 指標。(CVE-2021-34798)

 - 特製的要求 uri-path 可造成 mod_proxy_uwsgi 在所配置的記憶體之外讀取，並造成當機 (DoS)。(CVE-2021-36160)

 - 如果提供惡意輸入，ap_escape_quotes() 可能會在超出緩衝區結尾處寫入。(CVE-2021-39275)

 - 特製的要求 uri-path 可造成 mod_proxy 將要求轉送至遠端使用者選擇的原始伺服器。(CVE-2021-40438)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress SEOPress Plugin 受到透過 REST-API 造成的跨網站指令碼 (XSS) 弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Booster for WooCommerce Plugin 受到驗證繞過弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Gutenberg Template Library & Redux Framework Plugin 受到錯誤授權弱點影響，會導致任意外掛程式安裝和文章刪除。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本，遠端 Web 伺服器上執行的 Drupal 執行個體是 8.9.19 之前的 8.9.x 版、9.1.13 之前的 9.1.x 版或 9.2.6 之前的 9.2.x 版。因此，會受到多個弱點影響。

 - 在某些情況下，Drupal 核心 JSON：API 模組未正確限制特定內容的存取權限，這可能會導致意外的存取權限繞過。未啟用 JSON: API 模組的網站不受影響。(CVE-2020-13677)

 - 在某些情況下，QuickEdit 模組未正確檢查欄位的存取權限，這可能導致欄位資料意外洩漏。只有在安裝 QuickEdit 模組 (隨附於標准設定檔) 後，網站才會受到影響。(CVE-2020-13676)

 - Drupal 的 JSON: API 和 REST/File 模組允許使用者透過其 HTTP API 上傳檔案。這些模組未正確執行所有檔案驗證，因而造成存取權限繞過弱點。攻擊者可能會繞過網站上模組實作的檔案驗證程序來上傳檔案。藉由三個因素可減輕此弱點：必須在網站上啟用 JSON: API 或 REST 檔案上傳模組。攻擊者必須具有透過 JSON: API 或 REST 上傳檔案的存取權限。網站必須採用檔案驗證模組。(CVE-2020-13675)

 - QuickEdit 模組未正確驗證路由的存取權，這可在某些情況下觸發跨網站要求偽造弱點，並可能導致資料完整性問題。只有在安裝 QuickEdit 模組 (隨附於標准設定檔) 後，網站才會受到影響。移除未受信任之使用者的存取 in-place 編輯權限無法完全減輕此弱點的影響。(CVE-2020-13674)

 - Drupal core Media 模組提供了一個篩選器，允許在內容欄位中嵌入內部和外部媒體。在某些情況下，當具有嵌入媒體權限的受信任使用者存取頁面時，篩選器可能允許無權限的使用者將 HTML 插入頁面。有時，這可導致跨網站指令碼攻擊。(CVE-2020-13673)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

Dragonfly 是一個受歡迎的 ruby 程式庫，用於處理網站上的影像，以產生影像縮圖、文字影像，或是用於管理附件。停用 `verify_urls` 選項時，攻擊者可利用此弱點將惡意引數插入 shell 命令，並在目標應用程式上讀取和寫入檔案，或從遠端執行程式碼。

ForgeRock OpenAM 13.5.1 之前版本允許透過 Webfinger 通訊協定或密碼重設功能執行 LDAP 插入。例如，未經驗證的攻擊者可執行密碼雜湊的逐字元擷取，或擷取工作階段權杖或私密金鑰。

根據應用程式自我報告的版本號碼，偵測到的 WordPress 應用程式受到下列多個弱點影響：

 - REST API 中的資料洩漏弱點。

 - Lodash 程式庫 4.17.21 之前版本的弱點。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Atlassian Confluence 應用程式版本為 7.4.10 之前的版本，或 7.12.3 之前的 7.5.x 版。因此，它會受到 /s/ 端點中的預授權任意檔案讀取弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Atlassian Confluence 應用程式為 6.13.23 之前版本、7.4.11 之前的 6.14.x 版、7.11.6 之前的 7.5.x 版或 7.12.5 之前的 7.12.x 版。因此，會受到一個 OGNL 插入弱點影響，經驗證的使用者 (在某些情況下未經驗證的使用者) 可以利用此弱點在 Confluence Server 或 Data Center 執行個體上執行任意程式碼。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據 Atlassian Jira 自我報告的版本號碼，遠端 Web 伺服器上託管的執行個體版本早於 8.19.0。因此會受到多個弱點影響：

 - 問題通知功能中的存取控制無效弱點，允許已查看問題的使用者在 Jira 帳戶遭撤銷後仍繼續接收問題更新。(CVE-2021-39119)

 - GIF 圖像閱讀器元件中的拒絕服務 (DoS) 弱點，允許遠端攻擊者對應用程式的可用性造成影響。(CVE-2021-39116)
 - 遠端攻擊者可以透過 /rest/api/1.0/render 端點中的列舉弱點，來探索使用者的使用者名稱。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端 Web 伺服器上託管的 Atlassian Jira 執行個體版本低於 8.5.18，或介於 8.6.x 至 8.13.10 或 8.14.x 至 8.18.2 之間。因此會受到多個弱點影響：

 - /rest/api/latest/projectvalidate/key 端點中的資訊洩漏弱點，允許經驗證的遠端攻擊者列舉私人 Jira 專案的金鑰。(CVE-2021-39121)

 - 在處理提供的內容時 (例如將 PDF 中的內容貼到說明欄位) 產生跨網站指令碼 (XSS) 弱點，允許遠端攻擊者插入任意 HTML 或 JavaScript 指令碼。(CVE-2021-39111)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端 Web 伺服器上託管的 Atlassian Jira 執行個體版本低於 8.5.14，或介於 8.6.x 至 8.13.6 或 8.14.x 至 8.16.1 之間。因此，它會受到 /WEB-INF/web.xml 端點中的路徑遊走弱點影響，使遠端攻擊者可以讀取特定的檔案。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據 Atlassian Jira 自我報告的版本號碼，遠端 Web 伺服器上主控的執行個體版本為 8.18.0 之前的 8.15.x 版。因此，它會受到 AssociateFieldToScreens 頁面上自訂欄位建立功能中的儲存型跨網站指令碼 (XSS) 弱點影響，使遠端攻擊者可以插入任意 HTML 或 JavaScript 指令碼。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據 Atlassian Jira 自我報告的版本號碼，遠端 Web 伺服器上託管的執行個體版本早於 8.18.0。因此，會受到註解通知功能中的一個資訊洩漏弱點影響，遠端攻擊者可藉此得知何時從問題中移除受限制的註解。

Note that the scanner has not tested for these issues but has instead relied only on the application's self-reported version number.

根據應用程式自我報告的版本號，遠端 Web 伺服器上主控的 Atlassian Jira 執行個體版本低於 8.13.9，或為 8.18.0 之前的 8.14.x 版。因此，它會受到允許清單功能中的存取控制無效弱點影響，使匿名遠端攻擊者可以在失去權限之後繼續檢視快取內容。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本，遠端網頁伺服器上執行的 Joomla! 執行個體是 4.0.1 之前的 4.0。因此，會受到其 com_media 刪除端點上一個存取控制不足弱點的影響。未經驗證的遠端攻擊者可利用此弱點，刪除遠端系統上的任意檔案。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本，遠端 Web 伺服器上執行的 Drupal 執行個體是 8.9.18 之前的 8.9.x 版、9.1.12 之前的 9.1.x 版或 9.2.4 之前的 9.2.x 版。由於使用第三方元件 CKEditor 進行 WYSIWYG 編輯，因此它會受到下列多個弱點影響：

 - 在 CKEditor 4 Fake Objects 套件中發現一個弱點。此弱點允許插入格式錯誤的 Fake Objects HTML，進而導致執行 JavaScript 程式碼。(CVE-2021-37695)

 - 在與復原功能一起使用的剪貼簿 Widget 外掛程式中發現一個弱點。此弱點允許使用者利用格式錯誤的 Widget HTML 來濫用復原功能，進而導致執行 JavaScript 程式碼。(CVE-2021-32808)

 - 在 CKEditor 4 Clipboard 套件中發現一個弱點。該弱點允許利用格式錯誤的 HTML 濫用貼上功能，進而導致將任意 HTML 插入編輯器。(CVE-2021-32809)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

ID	名稱	嚴重性
112996	Jetty 9.4.6 < 9.4.37 拒絕服務	medium
112995	Jetty 11.0.x < 11.0.2 多個弱點	high
112994	Jetty 10.0.x < 10.0.2 多個弱點	high
112993	Jetty < 9.4.39 多個弱點	high
112992	Jetty 11.0.x < 11.0.3 多個弱點	medium
112991	Jetty 10.0.x < 10.0.3 多個弱點	medium
112990	Jetty < 9.4.41 多個弱點	medium
112989	Jetty 11.0.x < 11.0.6 資訊洩漏	medium
112988	Jetty 10.0.x < 10.0.6 資訊洩漏	medium
112987	Jetty 9.4.37 < 9.4.43 資訊洩漏	medium
112986	PHP 7.3.x < 7.3.31 路徑遊走	medium
112985	PHP 7.4.x < 7.4.24 路徑遊走	medium
112984	PHP 8.x < 8.0.11 路徑遊走	medium
112983	Underscore.js 1.13.x < 1.13.0-2 任意程式碼插入	high
112982	Underscore.js 1.3.2 < 1.12.1 任意程式碼插入	high
112981	Apache 2.4.x < 2.4.49 多個弱點	critical
112980	SEOPress Plugin for WordPress 5.x < 5.0.4 跨網站指令碼	medium
112979	Booster for WooCommerce Plugin for WordPress < 5.4.4 驗證繞過	critical
112978	Gutenberg Template Library & Redux Framework Plugin for WordPress < 4.2.13 錯誤授權	medium
112977	Drupal 8.9.x < 8.9.19 多個弱點	critical
112976	Drupal 9.1.x < 9.1.13 多個弱點	critical
112975	Drupal 9.2.x < 9.2.6 多個弱點	critical
112974	Dragonfly Ruby Gem < 1.4.0 引數插入弱點	critical
112973	ForgeRock OpenAM LDAP 插入	high
112972	WordPress 5.8.x < 5.8.1 多個弱點	high
112971	WordPress 5.7.x < 5.7.3 多個弱點	high
112970	WordPress 5.6.x < 5.6.5 多個弱點	high
112969	WordPress 5.5.x < 5.5.6 多個弱點	high
112968	WordPress 5.4.x < 5.4.7 多個弱點	high
112967	WordPress 5.2.x < 5.2.12 多個弱點	high
112966	Atlassian Confluence 7.5.x < 7.12.3 任意檔案讀取	medium
112965	Atlassian Confluence < 7.4.10 任意檔案讀取	medium
112964	Atlassian Confluence 7.12.x < 7.12.5 Webwork OGNL 插入	critical
112963	Atlassian Confluence 7.5.x < 7.11.6 Webwork OGNL 插入	critical
112962	Atlassian Confluence 6.14.x < 7.4.11 Webwork OGNL 插入	critical
112961	Atlassian Confluence < 6.13.23 Webwork OGNL 插入	critical
112960	Atlassian Jira < 8.19.0 多個弱點	medium
112959	Atlassian Jira 8.14.x < 8.18.2 多個弱點	medium
112958	Atlassian Jira 8.6.x < 8.13.10 多個弱點	medium
112957	Atlassian Jira < 8.5.18 多個弱點	medium
112956	Atlassian Jira 8.14.x < 8.16.1 任意檔案讀取	medium
112955	Atlassian Jira 8.6.x < 8.13.6 任意檔案讀取	medium
112954	Atlassian Jira < 8.5.14 任意檔案讀取	medium
112953	Atlassian Jira 8.15.x < 8.18.0 跨網站指令碼	medium
112952	Atlassian Jira < 8.18.0 Information Disclosure	high
112951	Atlassian Jira 8.14.x < 8.18.0 存取控制無效	high
112950	Atlassian Jira < 8.13.9 存取控制無效	high
112948	Joomla! 4.x < 4.0.1 存取控制不足	critical
112947	Drupal 8.9.x < 8.9.18 第三方程式庫弱點	medium
112946	Drupal 9.1.x < 9.1.12 第三方程式庫弱點	medium

偵測

Web App Scanning 的 Component Vulnerability 系列

medium

high

high

high

medium

medium

medium

medium

medium

medium

medium

medium

medium

high

high

critical

medium

critical

medium

critical

critical

critical

critical

high

high

high

high

high

high

high

medium

medium

critical

critical

critical

critical

medium

medium

medium

medium

medium

medium

medium

medium

high

high

high

critical

medium

medium