遠端主機上安裝的 Apache Tomcat 版本介於 9.0.0-M1 至 9.0.95、10.1.0-M1 至 10.1.30 或 11.0.0-M1 至 11.0.0-M26 之間。因此，該應用程式受到多個弱點影響：

 - 如果將 Tomcat 設為使用自訂 Jakarta 驗證 (之前稱為 JASPIC) ServerAuthContext 元件，其可能會在驗證程序期間擲回例外狀況，而未明確設定 HTTP 狀態以指示失敗，則驗證可能不會失敗，進而允許使用者繞過驗證程序。(CVE-2024-52316)

 - 未正確回收 HTTP/2 要求所使用的要求和回應可能導致使用者之間的要求和/或回應混淆。CVE-2024-52317

請注意，掃描程式並未嘗試利用這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 Apache Tomcat 版本介於 9.0.96、10.1.31 或是 11.0.0。因此受到一個跨網站指令碼 (XSS) 影響，這是因為先前的修正造成共用的 JSP 標籤未在使用後釋放，進而可能造成部分標籤的輸出未如預期逸出。此未逸出的輸出可導致 XSS。

請注意，掃描程式並未嘗試利用這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress Opti Marketing Plugin 受到未經驗證的 SQL 插入弱點影響：

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，jQuery 的版本低於 1.9.0。因此，可能受到一個跨網站指令碼弱點影響，這是因為載入方法無法辨識及移除含有空白字元的「<script>」HTML 標籤所導致。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

掃描程式使用其登入表單上的可預測憑證，成功通過 Apache APISIX Web 應用程式的驗證。

2.10.1 之前的 Apache APISIX Dashboard 版本受到一個弱點影響，該弱點允許遠端攻擊者透過特製的要求，繞過驗證並存取敏感資源。

5.4.46 版之前的 Symfony、6.4.14 版之前的 6.x 或 7.1.7 版之前的 7.x，當 register_argc_argv php 指示詞設為 'on' 或使用者呼叫任何含有特製查詢字串的 URL 時會產生漏洞。他們可以更改處理要求時核心所使用的環境或除錯模式。

請注意，由於有弱點的 Symfony 元件內嵌在 Laravel 中，因此 plugin 可能會偵測到有弱點的 Laravel 執行個體。

5.3.0 之前的 8.11.4 版或 9.x 之前的 9.7.0 版使用 PKIAuthenticationPlugin (使用 Solr 驗證時預設啟用)，可讓攻擊者透過特製的偽造要求繞過驗證。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 版本比 3.5.8 之前的 2.5.0、比 4.0.4 之前的 4.0.x、4.1.2 之前的 4.1.x。因此，可能會受到登入時 LDAP 盲目插入的影響，其允許攻擊者從 LDAP 資料庫洩漏任意屬性。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 應用程式比 3.5.9 舊、比 4.0.5 之前的 4.0.x、比 4.1.3 之前的 4.1.x 舊 。因此，它會受到多個弱點影響：

- 已驗證的設定檔連結可能會以誤導的方式進行格式化 - 透過緩慢的 HTTP 回應引發拒絕服務 - 透過媒體附件建立任意檔案 - 透過 oEmbed 預覽卡片引發 XSS

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 應用程式比 3.5.14 舊、比 4.0.10 之前的 4.0.x、比 4.1.8 之前的 4.1.x 舊 。因此，它會受到多個弱點影響：

- 透過轉譯功能發生的已儲存 XSS - 伺服器端要求偽造 - 網域名稱標準化無效

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 應用程式比 3.5.18 舊、比 4.0.14 之前的 4.0.x、比 4.1.14 之前的 4.1.x、4.2.6 之前的 4.2.x。因此，它會受到多個弱點影響：

- 損毀 OAuth 應用程式時，並未通知串流存取權杖遭到損毀 - 電子郵件變更的外部 OpenID Connect 帳戶接管

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 版本比 3.5.17 舊、比 4.0.13 之前的 4.0.x、比 4.1.13 之前的 4.1.x、4.2.5 之前的 4.2.x。因此，可能受到遠端使用者模擬和接管的影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 版本比 3.5.19 舊、比 4.0.15 之前的 4.0.x、比 4.1.15 之前的 4.1.x、4.2.7 之前的 4.2.x。因此，可能會受到 Activity Streams 物件缺少媒體類型驗證的影響，而允許模擬遠端帳戶。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端主機上執行的 Mastodon 應用程式為 4.1.17 之前版本，或 4.2.9 之前的 4.2.x 版。因此，它會受到多個弱點影響：

- 可繞過私人提及篩選 - 遺漏密碼變更端點的速率限制 - 使用 X-Forwarded-For 標頭繞過速率限制

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據應用程式自我報告的版本號，遠端主機上執行的 Mastodon 應用程式為 4.1.18 之前版本，或 4.2.10 之前的 4.2.x 版。因此，它會受到多個弱點影響：

- 多個 API 端點上的權限檢查不充分 - 對現有貼文的存取權延伸模組執行不當的作者身份檢查 - 已撤銷 token 的問題，在使用者撤銷應用程式的存取權杖後，應用程式仍可透過以下方式接收使用者的私密提及、通知等內容串流 API 的現有連線。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Mastodon 版本比 4.1.20 舊或比 4.2.12 之前的 4.2.x 舊。因此，它可能會受到規則運算式拒絕服務 (ReDoS) 弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

SuiteCRM 7.14.4 之前版本和 8.x 至 8.6.1 版的事件回應進入點包含未經驗證的 SQL 插入弱點，因此攻擊者可透過特別偽造的要求來執行 SQL 查詢。

根據預設，Clockwork 不要求必須完成驗證才能存取儀表板。這使得攻擊者可以存取敏感資料，例如資料庫查詢和傳入要求。

這是一個資訊外掛程式，用於通知使用者掃描器在目標應用程式上偵測到可公開存取的 Clockwork 執行個體。

遠端主機上安裝的 WordPress GiveWP Plugin 受到 PHP 對象插入攻擊弱點影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

1.2.96 之前的 Palo Alto Expedition 版本受到多個弱點影響：
 - 透過「/API/convertCSVtoParque.php」端點的未經驗證 OS 命令插入弱點 (CVE-2024-9264)
 - 未經驗證的 OS 命令插入弱點 (CVE-2024-9464)
 - 透過「CHECKPOINT.php」端點的未經驗證 SQL 插入弱點 (CVE-2024-9465)
 - 敏感資訊的純文字儲存弱點 (CVE-2024-9466)
 - 一個反映式跨網站指令碼弱點 (CVE-2024-9467)

根據其自我報告的版本，遠端網頁伺服器上執行的 Drupal 執行個體是 10.2.10 之前的 10.2.x 版。在某些不常見的網站組態下，CKEditor 5 模組中的錯誤可造成部分影像上傳作業將整個 webroot 移至檔案系統上的不同位置。惡意使用者可惡意利用此弱點來關閉網站。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

根據其自我報告的版本號碼，遠端主機上執行的 Atlassian Confluence 應用程式版本為 7.19.25 之前版本、8.5.11 之前的 7.20.x 版或 8.9.3 之前的 8.6.x 版。因此，它受到儲存型跨網站指令碼 (XSS) 弱點的影響，使經驗證的攻擊者可以在受害者的瀏覽器上執行任意 HTML 或 JavaScript 程式碼，並且無需使用者互動。此弱點會對應用程式的機密性和完整性造成嚴重影響，但對可用性沒有影響。

請注意，掃描程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼做出判斷。

遠端主機上安裝的 WordPress SEOPress 外掛程式受到一個 PHP 物件插入弱點影響，該弱點是透過還原序列化來自「title」參數的不受信任輸入所導致。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

XWiki 平台 7.0 版、14.4.8 之前的版本以及 14.5 之前的 14.10.4 版受到「SkinsCode.XWikiSkinsSheet」文件中的不當逸出問題影響。未經驗證的遠端攻擊者可利用此弱點，在受弱點影響的 XWiki 執行個體上實現權限提升，並實現程式碼執行。

Mura 和 Masa CMS (開放原始碼分支) 受到 JSON API 上的 SQL 插入弱點影響。透過特製特定 HTTP 要求，未經驗證的遠端攻擊者可惡意利用此弱點，取得存取資料庫的權限並執行任意作業。

Dolibarr 16.x < 16.0.5 版受到一個不當存取控制弱點影響，未經驗證的遠端攻擊者可藉此存取目標執行個體連絡人資料庫，包括公開和私密備註。

Apache Tapestry 5.4.0 < 5.6.2 和 5.7.0 < 5.7.1 版允許未經驗證的攻擊者透過特製的要求存取 Class 檔案。如果「tapestry.hmac-passphrase」的值被復原，攻擊者可惡意利用此弱點，在傳送表單時，透過「t:formdata」參數的值造成任意程式碼執行。

ID	名稱	嚴重性
114509	Apache Tomcat 11.0.0-M1 < 11.0.0 多個弱點	critical
114508	Apache Tomcat 9.0.96 跨網站指令碼	medium
114507	Apache Tomcat 10.1.31 跨網站指令碼	medium
114506	Apache Tomcat 11.0.0 跨網站指令碼	medium
114504	Opti Marketing Plugin for WordPress <= 2.0.9 SQL 插入攻擊	critical
114501	jQuery < 1.9.0 跨網站指令碼	medium
114500	Apache APISIX 儀表板預設認證	high
114499	Apache APISIX Dashboard < 2.10.1 驗證繞過	critical
114497	Symfony < 5.4.46 / 6.x < 6.4.14 / 7.x < 7.1.7 不當輸入處理	high
114496	Apache Solr 5.3.0 < 8.11.4 / 9.x < 9.7.0 驗證繞過	high
114495	Mastodon 4.1.x < 4.1.2 LDAP 插入	medium
114494	Mastodon 4.0.x < 4.0.4 LDAP 插入	medium
114493	Mastodon 2.5.0 < 3.5.8 LDAP 插入	medium
114492	Mastodon 4.1.x < 4.1.3 多個弱點	critical
114491	Mastodon 4.0.x < 4.0.5 多個弱點	critical
114490	Mastodon < 3.5.9 多個弱點	critical
114489	Mastodon < 4.1.8 多個弱點	high
114488	Mastodon < 4.0.10 多個弱點	high
114487	Mastodon < 3.5.14 多個弱點	high
114486	Mastodon 4.2.x < 4.2.6 多個弱點	high
114485	Mastodon 4.1.x < 4.1.14 多個弱點	high
114484	Mastodon 4.0.x < 4.0.14 多個弱點	high
114483	Mastodon < 3.5.18 多個弱點	high
114482	Mastodon < 4.2.5 驗證繞過	critical
114481	Mastodon < 4.1.13 驗證繞過	critical
114480	Mastodon < 3.5.17 驗證繞過	critical
114479	Mastodon 4.2.x < 4.2.7 不受限制的檔案上傳	high
114478	Mastodon 4.1.x < 4.1.15 不受限制的檔案上傳	high
114477	Mastodon 4.0.x < 4.0.15 不受限制的檔案上傳	high
114476	Mastodon < 3.5.19 不受限制的檔案上傳	high
114475	Mastodon 4.2.x < 4.2.9 多個弱點	high
114474	Mastodon < 4.1.17 多個弱點	high
114473	Mastodon 4.2.x < 4.2.10 多個弱點	high
114472	Mastodon < 4.1.18 多個弱點	high
114471	Mastodon 4.2.x < 4.2.13 規則運算式拒絕服務	high
114470	Mastodon < 4.1.20 規則運算式拒絕服務	high
114462	SuiteCRM < 7.14.4 / 8.x < 8.6.1 SQL 插入	critical
114461	Clockwork 不受限制的存取權限	critical
114460	偵測到 Clockwork	info
114458	GiveWP Plugin for WordPress < 3.16.4 遠端程式碼執行	critical
114457	Palo Alto Expedition < 1.2.96 多個弱點	critical
114456	Drupal 10.2.x < 10.2.10 不當錯誤處理	medium
114455	Atlassian Confluence 8.6.x < 8.9.3 跨網站指令碼弱點	high
114454	Atlassian Confluence 7.20.x < 8.5.11 跨網站指令碼弱點	high
114453	Atlassian Confluence < 7.19.25 跨網站指令碼弱點	high
114452	SEOPress Plugin for WordPress < 7.9 PHP 物件插入	critical
114451	XWiki Platform 7.0 < 14.4.8 / 14.5 < 14.10.4 遠端程式碼執行	high
114450	Mura/Masa CMS SQL 插入	critical
114449	Dolibarr 16.x < 16.0.5 資料庫下載	high
114448	Apache Tapestry 任意檔案讀取	critical

偵測

Web App Scanning 的 Component Vulnerability 系列

critical

medium

medium

medium

critical

medium

high

critical

high

high

medium

medium

medium

critical

critical

critical

high

high

high

high

high

high

high

critical

critical

critical

high

high

high

high

high

high

high

high

high

high

critical

critical

info

critical

critical

medium

high

high

high

critical

high

critical

high

critical