根據應用程式自我報告的版本號碼，Roundcube Webmail 的版本低於 1.4.15，或介於 1.5.x 和 1.5.5 之間或 1.6.x 和 1.6.4 之間。因此，它可能會受到跨網站指令碼弱點影響，透過包含特製 SVG 文件的 HTML 電子郵件訊息可觸發此弱點。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號碼，Roundcube Webmail 的版本低於 1.5.6，或介於 1.6.x 和 1.6.5 之間。因此，它可能會受到透過 Content-Type 或 Content-Disposition 標頭觸發的跨網站指令碼弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號碼，Roundcube Webmail 的版本低於 1.5.7，或介於 1.6.x 和 1.6.7 之間。因此，它受到多個弱點影響：

 - 透過 SVG 動畫屬性觸發的跨網站指令碼 (XSS) 弱點。

 - 透過使用者喜好設定中的清單欄觸發的跨網站指令碼 (XSS) 弱點。

 - 透過 im_convert_path 和 im_identify_path 觸發的命令插入弱點。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號碼，Roundcube Webmail 的版本低於 1.5.8，或介於 1.6.x 和 1.6.8 之間。因此，它受到多個弱點影響：

 - rcmail_action_mail_get->run() 中的跨網站指令碼 (XSS) 弱點。

 - program/actions/mail/show.php 中 message_body() 的跨網站指令碼 (XSS) 弱點，透過濫用反向清理問題的特製電子郵件訊息可觸發此弱點。

 - 透過不充分篩選轉譯之電子郵件訊息中的階層式樣式表 (CSS) 標記序列，可導致敏感資訊洩漏。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號碼，Roundcube Webmail 的版本低於 1.4.14，或介於 1.5.x 和 1.5.4 之間或 1.6.x 和 1.6.3 之間。因此，它可能會受到跨網站指令碼弱點影響，透過包含特製連結的 text/plain 電子郵件訊息可觸發此弱點。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本，遠端 Web 伺服器上執行的 Joomla! 執行個體是 3.10.20 之前的 3.x 版、4.4.10 之前的 4.x 或 5.2.3 之前的 5.x 版。因此，它受到多個弱點影響。

 - 多種模組 chrome 未正確處理輸入，進而導致 XSS 攻擊指標。(CVE-2024-40747)

 - 功能表清單的 id 屬性缺少輸出逸出。(CVE-2024-40748)

 - 不當存取控制允許存取受保護的檢視。(CVE-2024-40749)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

Apache Struts 在 6.4.0 之前的版本容易受到一個上傳邏輯缺陷影響，攻擊者可以操控檔案上傳參數以啟用路徑遊走，並且在某些情況下，還可能導致遠端程式碼執行。

遠端主機上安裝的 Apache Tomcat 版本介於 9.0.0-M1 至 9.0.97、10.1.0-M1 至 10.1.33 或 11.0.0-M1 至 11.0.1 之間。因此，該應用程式受到多個弱點影響：

 針對 CVE-2024-50379 的之前的緩解措施不完整。除了升級到 11.0.2 或更高版本之外，在不區分大小寫的檔案系統上運行 Tomcat 且啟用了預設 servlet 寫入功能的使用者，可能需要根據所使用的 Java 版本進行額外的配置。(CVE-2024-56337)

 - 範例 web 應用程式中的數個範例未對上傳的資料設定限制，使得能夠觸發 OutOfMemoryError，進而造成拒絕服務。(CVE-2024-54677)

 - 如果針對不區分大小寫的檔案系統啟用預設 servlet 寫入 (唯讀初始化參數設為非預設的 false 值)，則在載入時並行讀取和上傳相同檔案可繞過 Tomcat 的區分大小寫檢查，並造成上傳的檔案會被視為導致遠端程式碼執行的 JSP。(CVE-2024-50379)

請注意，掃描程式並未嘗試利用這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Hunk Companion Plugin 受到一個不當存取控制弱點影響，其允許未經驗證的遠端攻擊者在受影響的 WordPress 執行個體上安裝任何 plugin。

請注意，掃描程式並非這些問題的測試工具，而是僅依據應用程式自我報告的版本號碼做出判斷。

5.8.0.24 之前的 Cleo Harmony 版本、5.8.0.24 之前的 VLTrader 版本以及 5.8.0.24 之前的 LexiCom 版本受到一個弱點影響，可允許未經驗證的攻擊者上傳任意檔案，進而導致遠端程式碼執行。

5.8.0.21 之前的 Cleo Harmony 版本、5.8.0.21 之前的 VLTrader 版本以及 5.8.0.21 之前的 LexiCom 版本受到一個弱點影響，可允許未經驗證的攻擊者讀取任意檔案或上傳任意檔案，進而導致遠端程式碼執行。

根據其標題，遠端主機上執行的 GeoServer 為 2.19.6 版之前的版本或 2.20.0 < 2.20.4。因此，會受到一個還原序列化弱點的影響

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其標題，遠端主機上執行的 GeoServer 為 2.22.5 版之前的版本或 2.23.0 < 2.23.2。因此，會受到多個弱點影響：

- 網路地理資訊處理服務 (WPS) 中的伺服器端要求偽造 - 動態樣式 sld=<url> 參數中的伺服器端要求偽造

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其標題，遠端主機上執行的 GeoServer 為 2.23.3 版之前的版本。因此，會受到多個弱點影響：

- Style Publisher 中的儲存型跨網站指令碼 (XSS) 弱點 - REST 資源 API 中的儲存型跨網站指令碼 (XSS) 弱點

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其標題，遠端主機上執行的 GeoServer 為 2.23.4 版之前的版本。因此，會受到一個路徑遊走弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其標題，遠端主機上執行的 GeoServer 為 2.23.5 版之前的版本或 2.24.2 之前的 2.24.0 版。因此，會受到多個弱點影響：

- REST Coverage Store API 中的任意檔案上傳弱點 - GWC Seed Form 中的儲存型跨網站指令碼 (XSS) 弱點 - GWC Demos 頁面中的儲存型跨網站指令碼 (XSS) 弱點 - MapML HTML 頁面中的儲存型跨網站指令碼 (XSS) 弱點 - WMS OpenLayers 格式中的儲存型跨網站指令碼 (XSS) 弱點 - Simple SVG Renderer 中的儲存型跨網站指令碼 (XSS) 弱點

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其標題，遠端主機上執行的 GeoServer 為 2.23.5 版之前的版本或 2.24.2 之前的 2.24.0 版。因此，會受到一個任意檔案重新命名弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其標題，遠端主機上執行的 GeoServer 為 2.23.5 版之前的版本或 2.24.3 之前的 2.24.0 版。因此，會受到一個路徑遊走弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其標題，遠端主機上執行的 GeoServer 為 2.24.4 之前的 2.10.0 版或 2.25.1 之前的 2.25.x 版。因此，會受到一個敏感資訊洩漏弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress 垃圾郵件防護、反垃圾郵件、FireWall by CleanTalk Plugin 透過反向 DNS 欺騙受到授權繞過弱點影響。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 WordPress 垃圾郵件防護、反垃圾郵件、FireWall by CleanTalk Plugin 受到一個授權繞過弱點影響，這是因為缺少空白值檢查所致。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

Spring Eureka 是一種服務探索和註冊伺服器。其可讓微服務在沒有硬式編碼主機名稱和連接埠的情況下，以動態方式進行探索同時彼此通訊。

掃描程式偵測到目標應用程式使用了 Spring Eureka。

Ivanti Endpoint Manager (EPM) < 2022 SU6 / 2024 SU1 版本容易受到 XML 外部實體影響，未經驗證的攻擊者可透過特製要求從系統讀取任意檔案。

Sitecore CMS 8.x < 10.4 版受到錯誤路徑存取檢查弱點影響，未經驗證的遠端攻擊者可利用此弱點讀取受影響主機讀取任意檔案。

根據應用程式自我報告的版本號碼，偵測到的 Drupal 應用程式受到下列多個弱點影響：

 - 在某些情況和組態中，Drupal 使用 JavaScript 來轉譯狀態訊息。在某些情況下，未充分清理狀態訊息。

 - Drupal 核心包含一個潛在的 PHP 物件插入弱點，該弱點 (若與其他惡意利用結合) 可導致遠端程式碼執行。這並不會直接遭到惡意利用。

 - Drupal 核心包含一個潛在的 PHP 物件插入弱點，該弱點 (若與其他惡意利用結合) 可導致任意檔案刪除。這並不會直接遭到惡意利用。

 - Drupal 7 核心的 Overlay 模組未安全處理使用者輸入，進而導致在某些情況下發生反映式跨網站指令碼。只有啟用 Overlay 模組的網站會受到此弱點影響。

 - 視資料庫引擎及其定序而定，Drupal 針對特定使用者欄位的唯一性檢查出現不一致的情況。因此，使用者可能會使用與其他使用者相同的電子郵件地址進行註冊。   這可能導致資料完整性問題。

 - 在某些情況和組態中，Drupal 使用 JavaScript 來轉譯狀態訊息。在某些情況下，未充分清理狀態訊息。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

根據應用程式自我報告的版本號，遠端主機上安裝的 PHP 是 8.1.31 之前的8.1.x 版、8.2.26 之前的 8.2.x 版或 8.3.14 之前的 8.3.x 版。因此會受到多個弱點影響：

 - ldap_escape 中的 OOB 存取。 (CVE-2024-8932)

 - 透過堆積緩衝區過度讀取，洩漏堆積的部分內容。 (CVE-2024-8929)

 - dblib 引用器中的整數溢位造成 OOB 寫入。 (CVE-2024-11236)

 - firebird 引用器中的整數溢位造成 OOB 寫入。(CVE-2024-11236)

 - 在資料流內容中設定 proxy 可能允許在 URI 中插入 CRLF。 (CVE-2024-11234)

 - convert.quoted-printable-decode 篩選器的單一位元組過度讀取。 (CVE-2024-11233)

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Surecart Plugin 受到未經驗證的 SQL 插入弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

Palo Alto PAN-OS 10.2.x < 10.2.12 / 11.0.x < 11.0.6 / 11.1.x < 11.0.5 / 11.2.x < 11.2.4 版受到一個弱點影響，其允許攻擊者繞過驗證，並透過特別偽造的要求提出系統管理員要求。

4.6 修補程式 5.19 之前的 Ivanti Cloud Services Appliance 版本受到一個弱點影響，其允許未經驗證的遠端攻擊者透過特製的要求存取受限制的功能

遠端主機上安裝的 WordPress Really Simple Security Plugin 受到驗證繞過弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 Apache Tomcat 版本介於 9.0.0-M1 至 9.0.95、10.1.0-M1 至 10.1.30 或 11.0.0-M1 至 11.0.0-M26 之間。因此，該應用程式受到多個弱點影響：

 - 如果將 Tomcat 設為使用自訂 Jakarta 驗證 (之前稱為 JASPIC) ServerAuthContext 元件，其可能會在驗證程序期間擲回例外狀況，而未明確設定 HTTP 狀態以指示失敗，則驗證可能不會失敗，進而允許使用者繞過驗證程序。(CVE-2024-52316)

 - 未正確回收 HTTP/2 要求所使用的要求和回應可能導致使用者之間的要求和/或回應混淆。CVE-2024-52317

請注意，掃描程式並未嘗試利用這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

ID	名稱	嚴重性
114561	Roundcube Webmail 1.5.x < 1.5.5 跨網站指令碼	medium
114560	Roundcube Webmail < 1.4.15 跨網站指令碼	medium
114559	Roundcube Webmail 1.6.x < 1.6.5 跨網站指令碼	medium
114558	Roundcube Webmail 1.5.x < 1.5.6 跨網站指令碼	medium
114557	Roundcube Webmail 1.6.x < 1.6.7 多個弱點	critical
114556	Roundcube Webmail 1.5.x < 1.5.7 多個弱點	critical
114555	Roundcube Webmail 1.6.x < 1.6.8 多個弱點	critical
114554	Roundcube Webmail 1.5.x < 1.5.8 多個弱點	critical
114553	Roundcube Webmail 1.6.x < 1.6.3 跨網站指令碼	medium
114552	Roundcube Webmail 1.5.x < 1.5.4 跨網站指令碼	medium
114551	Roundcube Webmail < 1.4.14 跨網站指令碼	medium
114550	Joomla! 5.x < 5.2.3 多個弱點	high
114549	Apache Struts < 6.4.0 不受限制的檔案上傳 (S2-067)	critical
114548	Apache Tomcat 9.0.0-M1 < 9.0.98 多個弱點	critical
114547	Apache Tomcat 10.1.0-M1 < 10.1.34 多個弱點	critical
114546	Apache Tomcat 11.0.0-M1 < 11.0.2 多個弱點	critical
114545	Hunk Companion Plugin for WordPress < 1.9.0 任意 plugin 安裝	critical
114544	Cleo < 5.8.0.24 未受限制的檔案上傳	critical
114542	Cleo < 5.8.0.21 未受限制的檔案讀取/上傳	critical
114541	GeoServer 2.20.0 < 2.20.4 不安全的還原序列化	high
114540	GeoServer < 2.19.6 不安全的還原序列化	high
114539	GeoServer 2.23.0 < 2.23.1 多個弱點	critical
114538	GeoServer < 2.22.5 多個弱點	critical
114537	GeoServer < 2.23.3 多個弱點	medium
114536	GeoServer < 2.23.4 路徑遊走	high
114535	GeoServer 2.24.0 < 2.24.1 多個弱點	high
114534	GeoServer < 2.23.4 多個弱點	high
114533	GeoServer 2.24.0 < 2.24.2 路徑遊走	medium
114532	GeoServer 2.24.0 < 2.24.3 路徑遊走	high
114531	GeoServer < 2.23.5 路徑遊走	high
114530	GeoServer 2.25.0 < 2.25.1 敏感資訊洩漏	medium
114529	GeoServer 2.10.0 < 2.24.4 敏感資訊洩漏	medium
114527	垃圾郵件防護、反垃圾郵件、FireWall by CleanTalk Plugin for WordPress < 6.44 授權繞過	high
114526	垃圾郵件防護、反垃圾郵件、FireWall by CleanTalk Plugin for WordPress < 6.45 授權繞過	high
114525	偵測到 Spring Eureka	info
114524	Ivanti EPM XML 外部實體	high
114523	Sitecore 8.x < 10.4 任意檔案讀取	high
114522	Drupal 7.x < 7.102 多個弱點	high
114521	Drupal 10.2.x < 10.2.11 多個弱點	high
114520	Drupal 10.3.x < 10.3.9 多個弱點	high
114519	Drupal 11.0.x < 11.0.8 多個弱點	high
114518	PHP 8.1.x < 8.1.31 多個弱點	critical
114517	PHP 8.2.x < 8.2.26 多個弱點	critical
114516	PHP 8.3.x < 8.3.14 多個弱點	critical
114515	Surecart Plugin for WordPress < 2.30.0 SQL 插入攻擊	critical
114514	Palo Alto PAN-OS GlobalProtect 驗證繞過	medium
114513	Ivanti Cloud Services Appliance < 4.6 patch 519 路徑遊走	critical
114512	Really Simple Security Plugin for WordPress 9.x < 9.1.2 驗證繞過	critical
114511	Apache Tomcat 9.0.0-M1 < 9.0.96 多個弱點	critical
114510	Apache Tomcat 10.1.0-M1 < 10.1.31 多個弱點	critical

偵測

Web App Scanning 的 Component Vulnerability 系列

medium

medium

medium

medium

critical

critical

critical

critical

medium

medium

medium

high

critical

critical

critical

critical

critical

critical

critical

high

high

critical

critical

medium

high

high

high

medium

high

high

medium

medium

high

high

info

high

high

high

high

high

high

critical

critical

critical

critical

medium

critical

critical

critical

critical