自己報告されたバージョン番号によると、Bootstrap は少なくとも 4.0.0 および 4.1.2 より前です。したがって、tooltip、collapse および scrollspy プラグインを介してクロスサイトスクリプティング (XSS) の脆弱性による影響を受ける可能性があります。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2023: 0553 のアドバイザリに記載されている脆弱性の影響を受けます。

  - jquery: クロスドメインajaxリクエストによるクロスサイトスクリプティング (CVE-2015-9251)

  - bootstrap: データターゲット属性のXSS (CVE-2016-10735)

  -nodejs-moment：正規表現のサービス拒否 (CVE-2017-18214)

  - bootstrap: collapse data-parent属性のクロスサイトスクリプティング (XSS) (CVE-2018-14040)

  - bootstrap: scrollspy の data-target プロパティのクロスサイトスクリプティング(XSS) (CVE-2018-14041)

  - bootstrap: ツールチップのdata-containerプロパティのクロスサイトスクリプティング (XSS) (CVE-2018-14042)

  - jquery: サービス拒否、リモートコード実行、またはプロパティインジェクションにつながる、オブジェクトのプロトタイプのプロトタイプ汚染 (CVE-2019-11358)

  - bootstrap: ツールチップまたはポップオーバーデータテンプレート属性のXSS (CVE-2019-8331)

  - jquery: injQuery.htmlPrefilterメソッドが不適切なことによるクロスサイトスクリプティング (CVE-2020-11022)

  - jquery：DOM 操作メソッドへ渡される HTML の <option>タグを介した信頼されていないコード実行 (CVE-2020-11023)

  - wildfly-elytron: 安全でないコンパレータの使用によるタイミング攻撃の可能性 (

リモートホストにインストールされている F5 Networks BIG-IP のバージョンは、13.1.3.4 / 17.1.0 です。したがって、K05380109 のアドバイザリに記載されている脆弱性の影響を受けます。

    4.1.2 以前の Bootstrap では、scrollspy のデータターゲットプロパティで XSS が発生する可能性があります。(CVE-2018-14041) 影響 攻撃者はこの脆弱性を悪用して、クロスサイトスクリプティング (XSS) 攻撃を実行する可能性があります。

Tenable は、前述の記述ブロックを F5 Networks BIG-IP セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている TYPO3 のバージョンは、8.7.23 より前の 8.x または 9.5.4 より前の 9.x です。そのため、以下の複数の脆弱性の影響を受けます。
  - Typo3 にバンドルされているサードパーティコンポーネント Bootstrap に、ユーザーに返す前のユーザー指定入力が不適切に検証されていることによるクロスサイトスクリプティング（XSS）の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、特別に細工されたURLをクリックするようユーザーを誘導して、ユーザーのブラウザーセッションで任意のスクリプトコードを実行する可能性があります（CVE-2018-14041）。

  - 構成ブラックリストでの省略により、Typo3 にリモートコード実行の脆弱性があります。認証されているリモート攻撃者がこれを悪用し、影響を受けるホスト上で任意のコマンドを実行する可能性があります。

  - Typo3 の RequireJS パッケージを適切に構成できないため、このパッケージに情報漏洩の脆弱性があります。認証されていないリモート攻撃者がこれを悪用し、秘密情報を漏洩させる可能性があります。

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョンにのみ依存しています。

リモートの Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2023: 0554 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - jquery: クロスドメインajaxリクエストによるクロスサイトスクリプティング (CVE-2015-9251)

  - bootstrap: データターゲット属性のXSS (CVE-2016-10735)

  -nodejs-moment：正規表現のサービス拒否 (CVE-2017-18214)

  - bootstrap: collapse data-parent属性のクロスサイトスクリプティング (XSS) (CVE-2018-14040)

  - bootstrap: scrollspy の data-target プロパティのクロスサイトスクリプティング(XSS) (CVE-2018-14041)

  - bootstrap: ツールチップのdata-containerプロパティのクロスサイトスクリプティング (XSS) (CVE-2018-14042)

  - jquery: サービス拒否、リモートコード実行、またはプロパティインジェクションにつながる、オブジェクトのプロトタイプのプロトタイプ汚染 (CVE-2019-11358)

  - bootstrap: ツールチップまたはポップオーバーデータテンプレート属性のXSS (CVE-2019-8331)

  - jquery: injQuery.htmlPrefilterメソッドが不適切なことによるクロスサイトスクリプティング (CVE-2020-11022)

  - jquery：DOM 操作メソッドへ渡される HTML の <option>タグを介した信頼されていないコード実行 (CVE-2020-11023)

  - wildfly-elytron: 安全でないコンパレータの使用によるタイミング攻撃の可能性 (

リモートの Redhat Enterprise Linux 7 ホストにインストールされているパッケージは、RHSA-2023: 0552 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - jquery: クロスドメインajaxリクエストによるクロスサイトスクリプティング (CVE-2015-9251)

  - bootstrap: データターゲット属性のXSS (CVE-2016-10735)

  - nodejs-moment: 正規表現のサービス拒否 (CVE-2017-18214)

  - bootstrap: collapse data-parent属性のクロスサイトスクリプティング (XSS) (CVE-2018-14040)

  - bootstrap: scrollspy の data-target プロパティのクロスサイトスクリプティング(XSS) (CVE-2018-14041)

  - bootstrap: ツールチップのdata-containerプロパティのクロスサイトスクリプティング (XSS) (CVE-2018-14042)

  - jquery: サービス拒否、リモートコード実行、またはプロパティインジェクションにつながる、オブジェクトのプロトタイプのプロトタイプ汚染 (CVE-2019-11358)

  - bootstrap: ツールチップまたはポップオーバーデータテンプレート属性のXSS (CVE-2019-8331)

  - jquery: injQuery.htmlPrefilterメソッドが不適切なことによるクロスサイトスクリプティング (CVE-2020-11022)

  - jquery：DOM 操作メソッドへ渡される HTML の <option>タグを介した信頼されていないコード実行 (CVE-2020-11023)

  - wildfly-elytron: 安全でないコンパレータの使用によるタイミング攻撃の可能性 (CVE-2022-3143)

  - jettison: stackoverflow によるパーサーのクラッシュ (CVE-2022-40149)

  -jettison：ユーザー指定の XML または JSON データによるメモリ枯渇 (CVE-2022-40150)

  - woodstox-core: XML データをシリアル化するための Woodstox は、サービス拒否攻撃に対して脆弱でした (CVE-2022-40152)

  - jackson-databind: wrt UNWRAP_SINGLE_VALUE_ARRAYS をネスト化する深いラッパー配列 (CVE-2022-42003)

  - jackson-databind: 深くネスト化された配列の使用 (CVE-2022-42004)

  - mina-sshd: Java の安全ではない逆シリアル化の脆弱性 (CVE-2022-45047)

  -jettison：map の値がマップそのものである場合、新しい JSONObject (map) により StackOverflowError が発生し、dos が発生する可能性があります (CVE-2022-45693)

  - Apache CXF: SSRF の脆弱性 (CVE-2022-46364)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2023: 5693 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - 4.1.2以前のBootstrapでは、scrollspyのdata-targetプロパティでXSSが発生する可能性があります。(CVE-2018-14041)

  - 3.4.0 以前の Bootstrap では、tooltip data-viewport 属性で XSS が発生する可能性があります。(CVE-2018-20676)

  - 3.4.0以前のBootstrapでは、affix設定ターゲットプロパティでXSSが発生する可能性があります。(CVE-2018-20677)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
112374	Bootstrap 4.0.0 < 4.1.2のクロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	medium
170914	RHEL 8: Red Hat JBoss Enterprise Application Platform 7.4.9セキュリティ更新プログラム (重要) (RHSA-2023: 0553)	Nessus	Red Hat Local Security Checks	2023/1/31	2025/1/24	critical
174569	F5 Networks BIG-IP : Bootstrap の脆弱性 (K05380109)	Nessus	F5 Networks Local Security Checks	2023/4/20	2025/1/2	medium
138890	TYPO3 8.x < 8.7.23 / 9.x < 9.5.4 の複数の脆弱性	Nessus	CGI abuses	2020/7/24	2025/5/14	medium
170911	RHEL 9: Red Hat JBoss Enterprise Application Platform 7.4.9セキュリティ更新プログラム (重要) (RHSA-2023: 0554)	Nessus	Red Hat Local Security Checks	2023/1/31	2025/1/24	critical
170909	RHEL 7: Red Hat JBoss Enterprise Application Platform 7.4.9セキュリティ更新プログラム (重要) (RHSA-2023: 0552)	Nessus	Red Hat Local Security Checks	2023/1/31	2025/1/24	critical
182992	RHEL 9: Red Hat Ceph Storage 6.1 (RHSA-2023: 5693)	Nessus	Red Hat Local Security Checks	2023/10/12	2025/8/15	critical

検出

プラグインの検索

medium

critical

medium

medium

critical

critical

critical