リモートの Redhat Enterprise Linux 7 ホストにインストールされているパッケージは、RHSA-2023: 0552 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - jquery: クロスドメインajaxリクエストによるクロスサイトスクリプティング (CVE-2015-9251)

  - bootstrap: データターゲット属性のXSS (CVE-2016-10735)

  - nodejs-moment: 正規表現のサービス拒否 (CVE-2017-18214)

  - bootstrap: collapse data-parent属性のクロスサイトスクリプティング (XSS) (CVE-2018-14040)

  - bootstrap: scrollspy の data-target プロパティのクロスサイトスクリプティング(XSS) (CVE-2018-14041)

  - bootstrap: ツールチップのdata-containerプロパティのクロスサイトスクリプティング (XSS) (CVE-2018-14042)

  - jquery: サービス拒否、リモートコード実行、またはプロパティインジェクションにつながる、オブジェクトのプロトタイプのプロトタイプ汚染 (CVE-2019-11358)

  - bootstrap: ツールチップまたはポップオーバーデータテンプレート属性のXSS (CVE-2019-8331)

  - jquery: injQuery.htmlPrefilterメソッドが不適切なことによるクロスサイトスクリプティング (CVE-2020-11022)

  - jquery：DOM 操作メソッドへ渡される HTML の <option>タグを介した信頼されていないコード実行 (CVE-2020-11023)

  - wildfly-elytron: 安全でないコンパレータの使用によるタイミング攻撃の可能性 (CVE-2022-3143)

  - jettison: stackoverflow によるパーサーのクラッシュ (CVE-2022-40149)

  -jettison：ユーザー指定の XML または JSON データによるメモリ枯渇 (CVE-2022-40150)

  - woodstox-core: XML データをシリアル化するための Woodstox は、サービス拒否攻撃に対して脆弱でした (CVE-2022-40152)

  - jackson-databind: wrt UNWRAP_SINGLE_VALUE_ARRAYS をネスト化する深いラッパー配列 (CVE-2022-42003)

  - jackson-databind: 深くネスト化された配列の使用 (CVE-2022-42004)

  - mina-sshd: Java の安全ではない逆シリアル化の脆弱性 (CVE-2022-45047)

  -jettison：map の値がマップそのものである場合、新しい JSONObject (map) により StackOverflowError が発生し、dos が発生する可能性があります (CVE-2022-45693)

  - Apache CXF: SSRF の脆弱性 (CVE-2022-46364)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

RHEL 7: Red Hat JBoss Enterprise Application Platform 7.4.9セキュリティ更新プログラム (重要) (RHSA-2023: 0552)

critical Nessus プラグイン ID 170909

依存が見つかりません