リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、94f93681-6775-11f1-8044-002590af0794 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

    Caddy プロジェクトによる報告:
    Caddy 2.11.4 には、複数のセキュリティ修正が含まれています。
    GitHub セキュリティアドバイザリ GHSA-qrp7-cvwr-j2c6 による報告:
    リクエストパスにある Windows エンコードのバックスラッシュは、ファイルが file_server によって提供される前にパス範囲の承認ルールをバイパスする可能性があります。
    GitHub セキュリティアドバイザリ GHSA-f59h-q822-g45g による報告:
    forward_auth copy_headers、FastCGI ヘッダー正規化の前にコピーされた ID ヘッダーのアンダースコアのエイリアスを削除できないため、ID またはグループヘッダーのなりすましを引き起こす可能性があります。
    GitHub セキュリティアドバイザリ GHSA-vcc4-2c75-vc9v による報告:
    stripHTML テンプレート関数が無効な形式の HTML を削除できないため、信頼されない出力が後に HTML としてレンダリングされた場合に、クライアント側のクロスサイトスクリプティングが引き起こされる可能性があります。

Tenable は、前述の記述ブロックを FreeBSD セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

FreeBSD:caddy -- 複数の脆弱性(94f93681-6775-11f1-8044-002590af0794)

high Nessus プラグイン ID 321073

バージョン 1.2