根據其標題遠端主機上執行的 Zimbra Collaboration 版本是比 10.0.x 舊的 10.0.13 或比 10.1.x 舊的 10.1.5。因此會受到一個已儲存跨網站指令碼 (XSS) 弱點的影響此弱點是因為 ICS 檔案中的 HTML 內容清理不充分所導致。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Fortra GoAnywhere MFT 是管理式檔案傳輸 (MFT) 解決方案，可協助組織建立內部和外部資料傳輸交換。GoAnyWhere MFT 7.8.4 之前版本和 7.6.3 之前版本受到還原序列化弱點影響。未經驗證的遠端攻擊者可透過建立特定的資料載荷，在有弱點的目標執行個體上從遠端執行程式碼。

5.5.10 之前的 Dell UnityVSA 版本容易受到一個遠端程式碼執行弱點影響，這是因為不當輸入驗證所致。未經驗證的攻擊者可惡意利用此弱點，傳送特製的 HTTP 要求。

8.0.x 之前的 8.0.7版、 8.1.x 之前的 8.1.8版、 8.2.x 之前的 8.2.7版以及 8.3.x 之前的 8.3.1 版容易受到路徑遊走問題影響其可允許攻擊者讀取主機系統上的任意檔案Grafana 可存取的資料庫。

遠端攻擊者可藉由將特製要求傳送至受影響的應用程式而惡意利用此弱點。

成功的惡意利用可允許攻擊者讀取主機系統上的敏感檔案。

根據其自我報告的版本遠端主機上主控的 Grafana 安裝版本為 10.4.17之前的 版或 11.2.x 之前的 11.2.8版或 11.3.x 之前的 11.3.5版或 11.4.x 之前的 11.4.3版或 11.5.x 之前的 []至 11.5.3。因此會受到不當授權影響。

- Grafana 的資料來源代理伺服器 API 允許透過在 URL 路徑中新增額外的斜線字元來繞過授權檢查。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本遠端主機上主控的 Grafana 安裝版本比 11.6.2舊。因此會受到不正確的輸入驗證影響。

- 過長的儀表板標題或面板名稱會造成 Chromium 瀏覽器停止回應這是因為 Grafana 中的不當輸入驗證弱點所導致。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本遠端主機上主控的 Grafana 安裝版本為 11.3.8之前的 版或 11.4.x ] 之前的 11.4.6版或 11.5.x 之前的 11.5.6版或 11.6.x 之前的 11.6.3版或 12.0.x 之前的 []至 12.0.2或 12.1.x 之前的 12.1.2。因此，會受到多個弱點影響。

- Grafana 組織交換功能中的開放重新導向弱點。

- 開放重新導向可與路徑遊走弱點鏈結在一起以透過指令碼儀表板造成 XSS。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

8.3.x 之前的 9.3.0.2 版或 9.4.x 之前的 9.4.0.1 版 Hitachi Pentaho Business Analytics Server [] 受到一個遠端程式碼執行弱點影響。攻擊者可惡意利用此問題，傳送特製的 HTTP 要求至受影響的應用程式。成功惡意利用此弱點可讓攻擊者可在目標系統上執行任意程式碼。

根據其標題遠端主機上執行的 Apache Kylin 版本是 2.3.x < 3.1.0。因此會透過 REST API 受到一個命令插入弱點影響。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其標題，遠端主機上執行的 Zyxel 版本為 < 5.38。因此會受到一個目錄遊走影響，其可允許攻擊者透過特製的 URL 下載或上傳檔案。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其自我報告的版本，遠端網頁伺服器上執行的 Joomla! 執行個體是 4.4.14 之前的 4.x 或 5.3.4 之前的 5.x。因此會受到多個弱點影響。

 - checkAttribute 方法內的不充分內容篩選導致多種元件中出現 XSS 弱點。 (CVE-2025-54476)

 - 不當處理驗證要求導致在 passkey 驗證方法中產生使用者列舉向量。 (CVE-2025-54477)

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

TRUFusion Enterprise 是一款解決方案，可輕鬆安全地管理 PLM 系統內部 CAD 檔案和相關產品設計資料的交換。由於缺乏控制權，未經驗證的攻擊者可存取傳回所有具有執行個體存取權的合作夥伴的端點。

0.5.0b3.dev76 之前的 pyLoad 版本受到一個不當存取控制弱點影響。任何未經驗證的使用者皆可瀏覽至特定 URL藉此洩漏 Flask 組態包括 `SECRET_KEY` 變數。攻擊者可利用此弱點對應用程式發動進一步攻擊。

r1720 之前的 ProjectSend 版本受到一個不當授權弱點影響。未經驗證的攻擊者可惡意利用此問題，存取敏感資訊並在應用程式內執行未經授權的動作。

在 Jenkins 2.217 至 2.442 版和 LTS 2.222.1 至 LTS 2.426.3 版本中存在一個弱點，其允許未經驗證的遠端攻擊者誘騙在目標 Jenkins 執行個體上經過驗證的使用者，並透過 Websocket 執行 Jenkins CLI 跨網站任意命令。

3.9.2 之前的 AIOHTTP 版本容易發生目錄遊走問題其允許未經驗證的攻擊者透過特製要求存取敏感檔案。

Cacti 1.3.x-DEV 版本受到一個未經驗證遠端程式碼執行弱點影響。攻擊者可藉由將特製的 HTTP 要求傳送至受影響的應用程式來惡意利用此問題。若惡意利用得逞攻擊者即可在目標系統上執行任意程式碼。

1.4.5 之前的 Nuxt Icon 版本容易受到伺服器端要求偽造 (SSRF) 影響這是因為未充分驗證圖示擷取功能中使用者提供的 URL 所致。攻擊者可藉由提供指向內部或受限資源的惡意 URL 惡意利用此弱點進而可能導致未經授權的存取或資料洩漏。

根據應用程式自我報告的版本號碼，遠端主機上執行的 FreePBOX 應用程式版本低於 15.0.66，或為 16.0.89 之前的 16.x、17.0.3 之前的 17.x 版。因此，該主機會受到對於使用者所提供的資料清理不當的問題影響，未經驗證的攻擊者可存取 FreePBX Administrator，進而導致任意資料庫操控和遠端程式碼執行攻擊。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據其伺服器回應標頭已安裝的 nginx 版本為 0.7.22 至 1.29.0。因此會受到 ngx_mail_smtp_module 中的一個緩衝區過度讀取弱點影響其可能允許未經驗證的攻擊者過度讀取 NGINX SMTP 驗證處理程序記憶體。因此伺服器端可能會洩漏傳送給驗證伺服器的要求中的任意位元組。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Apache Tomcat 版本是 9.0.108 之前的 9.0.0-M1、10.1.44 之前 10.1.0-M1，或是 11.0.10之前的 11.0.0-M1 版本。因此會受到一個拒絕服務弱點影響該弱點是因為 Tomcat 的 HTTP/2 實作容易受到讓您重設攻擊的弱點所導致。

請注意，掃描程式並未嘗試利用這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

CrushFTP 10.8.5 之前版本和 11.3.4_23 之前的 11.x 版本容易受到爭用條件影響，未經驗證的遠端攻擊者可透過特製的要求來存取未經授權的端點。

產生此問題的原因是應用程式未正確處理並行要求。攻擊者可藉由將多個要求並行傳送至受影響的應用程式來利用此問題。

7.4.x 之前的 7.4.3.133 版 Liferay Portal 以及 [] 之前的 2024.Q1.16 版或 2025.Q1.x 之前的 2025.Q1.5 版或 2025.Q2.x 之前的 2025.Q2.0 版 DXP 受到跨網站指令碼影響其允許未經驗證的遠端攻擊者將 JavaScript 插入modules/apps/市場/markplace-app-manager-web。

7.4.x 之前的 7.4.3.132 版 Liferay Portal 以及 [] 之前的 2024.Q1.13 版或 2024.Q2 之前的 2024.Q4.6 版 DXP 受到跨網站指令碼影響其允許未經驗證的遠端攻擊者將 JavaScript 插入模組/應用程式/市場/市場-app-manager-web。

比 2.3c 舊的 Rejetto HTTP File Server 版本容易受到遠端程式碼執行弱點的影響。利用此弱點，未經驗證的遠端攻擊者可透過傳送特製的 HTTP 要求，在受影響的系統上執行任意命令。

根據其標題，遠端主機上執行的 Active! Mail 版本為 < 6.60.05008562。因此，它受到因堆疊型緩衝區溢位弱點所導致的遠端程式碼執行弱點的影響。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

2025.1.1.3 之前的 Advantive Veracore 版本容易受到 timeoutWarning.asp 功能中的 SQL 插入影響進而允許攻擊者透過 PmSess1 參數執行任意 SQL 查詢。

根據應用程式自我報告的版本號碼，遠端主機上安裝的 Squid 版本為 5.x < 5.0.4 或低於 4.13。因此，在處理 URN 時，此應用程式會受到堆積緩衝區溢位弱點影響，且可能遭到遠端程式碼執行攻擊。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Lighthouse Studio 9.16.3 和更舊版本容易受到透過 ciwweb.pl Perl Web 應用程式造成的遠端程式碼執行影響。此弱點允許攻擊者傳送特製的要求至 ciwweb.pl 指令碼從而在伺服器上執行任意程式碼。

Wing FTP 7.4.2 版及更舊版本由於不當處理檔案路徑中的 null 字元，因此容易受到遠端程式碼執行弱點影響。攻擊者可利用此弱點，傳送包含 null 字元的特製要求，藉此在伺服器上執行任意命令。

根據標題，遠端主機上執行的 Apache 為 2.4.64 版。因此會受到一個錯誤影響該錯誤會導致所有「RewriteCond expr ...」測試的評估結果皆為「true」。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Microsoft SharePoint Server Subscription Edition < 16.0.18526.20508、2016 < 16.0.5513.1001 或 2019 < 16.0.10417.20037 受到一個弱點影響，該弱點允許未經驗證的攻擊者透過不安全的還原序列化來執行任意程式碼。

Fortinet FortiWeb 7.0.x < 7.0.11、7.2.x < 7.2.11、7.4.x < 7.4.8、7.6.x < 7.6.4 容易受到會導致遠端程式碼執行的預先驗證 SQL 插入攻擊影響。未經驗證的遠端攻擊者會利用此弱點，將惡意 SQL 查詢插入 FortiWeb Fabric Connector，並完全入侵受影響的系統。

根據其標題，遠端主機上執行的 Apache 版本是比 2.4.64 舊的 2.4.x 版。因此，會受到多個弱點影響：

 - 在 Apache HTTP Server 的核心中分割 HTTP 回應讓可操控由伺服器主控或代理之應用程式之 Content-Type 回應標頭的攻擊者可分割 HTTP 回應。 (CVE-2024-42516)

 - 載入 mod_proxy 的 Apache HTTP Server 中的伺服器端要求偽造 (SSRF) 允許攻擊者將傳出的代理伺服器要求傳送至攻擊者控制的 URL。 (CVE-2024-43204)

 - Windows 上 Apache HTTP Server 的伺服器端要求偽造 (SSRF) 可能允許透過傳遞未驗證要求輸入的 mod_rewrite 或 apache 運算式將 NTLM 雜湊洩漏給惡意伺服器。 (CVE-2024-43394)

 - 在 Apache HTTP Server 2.4.63 和更舊版本中mod_ssl 中使用者提供的資料逸出不足可讓未受信任的 SSL/TLS 用戶端在某些組態中將逸出字元插入記錄檔。 (CVE-2024-47252)

 - 在 Apache HTTP Server 2.4.35 到 2.4.62上的部分 mod_ssl 組態中受信任的用戶端可能利用 TLS 1.3 工作階段恢復執行存取控制繞過。 (CVE-2025-23048)

 - 在某些 Proxy 組態中未受信任的用戶端可觸發對 Apache HTTP Server 2.4.26 到 2.4.63 版的拒絕服務攻擊進而在 mod_proxy_http2 中造成宣告。 (CVE-2025-49630)

 - 在 Apache HTTP Server 版至 2.4.63版上的部分 mod_ssl 組態中HTTP 解除同步攻擊可讓攔截式攻擊者透過 TLS 升級劫持 HTTP 工作階段。 (CVE-2025-49812)

 - Apache HTTP Server 中的有效存留期後記憶體延遲釋放弱點。 (CVE-2025-53020) 請注意掃描程式並未測試這些問題而是僅依據應用程式自我報告的版本號碼。

遠端主機上安裝的 Apache Tomcat 版本是 9.0.107 之前的 9.0.0-M1、10.1.43 之前 10.1.0-M1，或是 11.0.9之前的 11.0.0-M1 版本。因此，該應用程式受到多個弱點影響：

 - 使用 APR/Native 連接器時連線關閉時的爭用情形可觸發 JVM 損毀進而導致 DoS。這在用戶端起始的 HTTP/2 連線關閉時特別明顯。 (CVE-2025-52434)

 - 針對某些不太可能發生的分段上傳組態整數溢位弱點可透過繞過大小限制導致 DoS。 (CVE-2025-52520)

 - 不受控制的資源消耗弱點存在如果 HTTP/2 用戶端未確認減少了最大允許並行資料流的初始設定框架可導致 DoS。 (CVE-2025-53506)

請注意，掃描程式並未嘗試利用這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

ID	名稱	嚴重性
115004	Zimbra Collaboration 10.1.x < 10.1.5 已儲存跨網站指令碼	medium
115003	Fortra GoAnywhere MFT 授權 Servlet 還原序列化弱點	critical
115000	Dell UnityVSA < 5.5.1.0 遠端程式碼執行	critical
114999	Grafana 8.0.x < 8.0.7 / 8.1.x < 8.1.8 / 8.2.x < 8.2.7 / 8.3.x < 8.3.1 路徑遊走	high
114998	Grafana 11.5.x < 11.5.3 不當授權	medium
114997	Grafana 11.4.x < 11.4.3 不當授權	medium
114996	Grafana 11.3.x < 11.3.5 不當授權	medium
114995	Grafana 11.2.x < 11.2.8 不當授權	medium
114994	Grafana < 10.4.17 不當授權	medium
114993	Grafana < 11.6.2 不當輸入驗證	low
114992	Grafana 12.1.x < 12.1.2 多個弱點	high
114991	Grafana 12.0.x < 12.0.2 多個弱點	high
114990	Grafana 11.6.x < 11.6.3 多個弱點	high
114989	Grafana 11.5.x < 11.5.6 多個弱點	high
114988	Grafana 11.4.x < 11.4.6 多個弱點	high
114987	Grafana < 11.3.8 多個弱點	high
114985	Hitachi Pentaho Business Analytics Server 8.3.x < 9.3.0.2 / 9.4.x < 9.4.0.1 遠端程式碼執行	critical
114984	Apache Kylin 2.3.x < 3.1.0 命令插入	high
114983	Zyxel < 5.38 目錄遊走	critical
114982	Joomla! 4.x < 4.4.14 多個弱點	medium
114981	Joomla! 5.x < 5.3.4 多個弱點	medium
114980	TRUFusion Entreprise 敏感資料洩漏	high
114978	pyLoad < 0.5.0b3.dev76 不當存取控制	high
114977	ProjectSend < r1720 不當授權	critical
114964	Jenkins 跨網站 WebSocket 劫持	critical
114961	AIOHTTP < 3.9.2 目錄遊走	high
114960	Cacti 1.3.x-DEV 遠端程式碼執行	critical
114958	Nuxt Icon < 1.4.5 伺服器端要求偽造	high
114957	FreeBPX < 17.0.3 驗證繞過	critical
114956	FreeBPX < 16.0.89 驗證繞過	critical
114955	FreeBPX < 15.0.66 驗證繞過	critical
114954	Nginx 0.7.22 < 1.29.1 緩衝區過度讀取	medium
114953	Apache Tomcat 9.0.0-M1 < 9.0.108 拒絕服務	high
114952	Apache Tomcat 10.1.0-M1 < 10.1.44 拒絕服務	high
114951	Apache Tomcat 11.0.0-M1 < 11.0.10 拒絕服務	high
114950	CrushFTP < 10.8.5 / 11.x < 11.3.4_23 爭用條件	critical
114945	Liferay Portal 7.4.x < 7.4.3.133 跨網站指令碼	medium
114944	Liferay Portal 7.4.x < 7.4.3.132 跨網站指令碼	medium
114943	Rejetto HTTP File Server < 2.3c 遠端程式碼執行	critical
114942	Active! Mail < 6.60.05008562 遠端程式碼執行	critical
114935	Advantive Veracore < 2025.1.1.3 SQL 插入	high
114931	Squid < 6.4 遠端程式碼執行	critical
114926	Lighthouse Studio < 9.16.14 遠端程式碼執行	critical
114925	Wing FTP < 7.4.4 遠端程式碼執行	critical
114924	Apache 2.4.64 RewriteCond expr 弱點	medium
114923	Microsoft SharePoint 遠端程式碼執行	critical
114922	Fortinet FortiWeb Fabric Connector SQL 插入攻擊	critical
114917	Apache 2.4.x < 2.4.64 多個弱點	critical
114916	Apache Tomcat 9.0.0-M1 < 9.0.107 多個弱點	high
114915	Apache Tomcat 10.1.0-M1 < 10.1.43 多個弱點	high

偵測

Web App Scanning 的 Component Vulnerability 系列

medium

critical

critical

high

medium

medium

medium

medium

medium

low

high

high

high

high

high

high

critical

high

critical

medium

medium

high

high

critical

critical

high

critical

high

critical

critical

critical

medium

high

high

high

critical

medium

medium

critical

critical

high

critical

critical

critical

medium

critical

critical

critical

high

high