リモートのRedhat Enterprise Linux 7ホストにインストールされているパッケージは、RHSA-2021：3656のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - velocity：攻撃者がテンプレートを変更することが可能である場合の任意コード実行（CVE-2020-13936）

  -netty：検証の欠如によるHTTP / 2でのリクエストスマグリングの可能性（CVE-2021-21295）

  -netty：Content-Lengthヘッダーを介するリクエストスマグリング（CVE-2021-21409）

  - jakarta-el：ELParserTokenManagerにより、無効なEL式を評価できるようになります（CVE-2021-28170）

  - apache-commons-io：Apache Commons IO 2.2～2.6の限定されたパストラバーサル（CVE-2021-29425）

  - wildfly：ドメインモードでロールを作成する際の管理コンソールによるXSS（CVE-2021-3536）

  - undertow：HTTP2SourceChannelが状況によっては最終フレームの書き込みに失敗し、DoSが発生する可能性があります（CVE-2021-3597）

  - wildfly-elytron: ScramServerでタイミング攻撃の可能性（CVE-2021-3642）

  - wildfly-core：Vault式の無効な機密性の分類（CVE-2021-3644）

  - undertow：着信websocket PONGメッセージのバッファリークにより、DoSが発生する可能性があります（CVE-2021-3690）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされている Oracle WebLogic Server のバージョンに、2020 年 4 月の Critical Patch Update (CPU) からのセキュリティパッチがありません。そのため、以下の複数の脆弱性の影響を受けます。

  - バンドルされている Guava コンポーネントに一時ディレクトリの作成の脆弱性があるため、権限の低い攻撃者が、Oracle WebLogic Server が実行しているインフラストラクチャにログオンアクセスし、Oracle WebLogic Server がアクセスできる一部のデータの読み取りアクセスを取得する可能性があります。(CVE-2020-8908)

  - バンドルされた JBoss Enterprise Application Platform における不適切な入力検証の欠陥により、認証されていない攻撃者が、Oracle WebLogic Server にアクセス可能な一部のデータへの HTTP 更新、挿入、または削除アクセスを介してネットワークにアクセスする可能性があります。(CVE-2021-28170)

  - バンドルされた JQuery コンポーネントのクロスサイトスクリプティングの脆弱性により、認証されていない攻撃者が、HTTP 経由でネットワークにアクセスし、別のユーザーから人間が操作して、Oracle WebLogic Server にアクセス可能なデータの一部を更新、挿入、削除、読み取りアクセスをする可能性があります。(CVE-2021-41184)

  - Oracle WebLogic Server のコアコンポーネントにサービス拒否の脆弱性があるため、認証されていない攻撃者が T3/IIOP を介してネットワークにアクセスし、Oracle WebLogic Server をハングさせたり、頻繁に繰り返しクラッシュさせたりする可能性があります。(CVE-2022-21441)

  - Oracle WebLogic Server のコンソールコンポーネントの脆弱性により、認証されていない攻撃者が、HTTP 経由でネットワークにアクセスし、別のユーザーから人間が操作して、Oracle WebLogic Server にアクセス可能なデータの一部を更新、挿入、削除、読み取りアクセスをする可能性があります。(CVE-2022-21453)

  - バンドルされた Log4J コンポーネントの SQLインジェクション脆弱性により、認証されていない攻撃者が HTTP 経由でネットワークにアクセスし、Oracle WebLogic Server で任意のコードを実行する可能性があります。(CVE-2022-23305)

  - バンドルされた Apache Xerces Java コンポーネントの XML インジェクションの脆弱性により、認証されていない攻撃者が、HTTP 経由でネットワークにアクセスし、別のユーザーから人間が操作して、Oracle WebLogic Server が停止したり、頻繁に繰り返しクラッシュが起きたりする可能性があります。(CVE-2022-23437)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Jakarta Expression Language 実装 3.0.3 以前では、ELParserTokenManager のバグにより、無効な EL 式が有効であるかのように評価される可能性があります。 （CVE-2021-28170）

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートのRedhat Enterprise Linux 8ホストにインストールされているパッケージは、RHSA-2021：3658アドバイザリに記載されている脆弱性の影響を受けます。

  - velocity：攻撃者がテンプレートを変更することが可能である場合の任意コード実行（CVE-2020-13936）

  -netty：検証の欠如によるHTTP / 2でのリクエストスマグリングの可能性（CVE-2021-21295）

  -netty：Content-Lengthヘッダーを介するリクエストスマグリング（CVE-2021-21409）

  - jakarta-el：ELParserTokenManagerにより、無効なEL式を評価できるようになります（CVE-2021-28170）

  - apache-commons-io：Apache Commons IO 2.2～2.6の限定されたパストラバーサル（CVE-2021-29425）

  - wildfly：ドメインモードでロールを作成する際の管理コンソールによるXSS（CVE-2021-3536）

  - undertow：HTTP2SourceChannelが状況によっては最終フレームの書き込みに失敗し、DoSが発生する可能性があります（CVE-2021-3597）

  - wildfly-elytron: ScramServerでタイミング攻撃の可能性（CVE-2021-3642）

  - wildfly-core：Vault式の無効な機密性の分類（CVE-2021-3644）

  - undertow：着信websocket PONGメッセージのバッファリークにより、DoSが発生する可能性があります（CVE-2021-3690）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2021: 3468 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - jakarta-el：ELParserTokenManagerにより、無効なEL式を評価できるようになります（CVE-2021-28170）

  - apache-commons-io：Apache Commons IO 2.2～2.6の限定されたパストラバーサル（CVE-2021-29425）

  - undertow: HTTP2SourceChannelが状況によっては最終フレームの書き込みに失敗し、DoSが発生する可能性があります（CVE-2021-3597）

  - wildfly-core：Vault式の無効な機密性の分類（CVE-2021-3644）

  - undertow：着信websocket PONGメッセージのバッファリークにより、DoSが発生する可能性があります（CVE-2021-3690）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 6 ホストにインストールされているパッケージは、RHSA-2021: 3466 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - jakarta-el：ELParserTokenManagerにより、無効なEL式を評価できるようになります（CVE-2021-28170）

  - apache-commons-io：Apache Commons IO 2.2～2.6の限定されたパストラバーサル（CVE-2021-29425）

  - undertow: HTTP2SourceChannelが状況によっては最終フレームの書き込みに失敗し、DoSが発生する可能性があります（CVE-2021-3597）

  - wildfly-core：Vault式の無効な機密性の分類（CVE-2021-3644）

  - undertow：着信websocket PONGメッセージのバッファリークにより、DoSが発生する可能性があります（CVE-2021-3690）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのRedhat Enterprise Linux 7ホストにインストールされているパッケージは、RHSA-2021：3467アドバイザリに記載されている脆弱性の影響を受けます。

  - jakarta-el：ELParserTokenManagerにより、無効なEL式を評価できるようになります（CVE-2021-28170）

  - apache-commons-io：Apache Commons IO 2.2～2.6の限定されたパストラバーサル（CVE-2021-29425）

  - undertow: HTTP2SourceChannelが状況によっては最終フレームの書き込みに失敗し、DoSが発生する可能性があります（CVE-2021-3597）

  - wildfly-core：Vault式の無効な機密性の分類（CVE-2021-3644）

  - undertow：着信websocket PONGメッセージのバッファリークにより、DoSが発生する可能性があります（CVE-2021-3690）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートRedhat Enterprise Linux 7ホストに、RHSA-2025:9582アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Red Hat JBoss Enterprise Application Platform 7 は、WildFly アプリケーションランタイムをベースにした Java アプリケーション用のプラットフォームです。Red Hat JBoss Enterprise Application Platform 7.1.11 のこのリリースは、Red Hat JBoss Enterprise Application Platform 7.1.10 に置き換わるものとして機能し、バグ修正プログラムと拡張機能が含まれています。このリリースに含まれる最も重要なバグ修正プログラムと拡張機能については、『Red Hat JBoss Enterprise Application Platform 7.1.11 リリースノート』を参照してください。

    セキュリティ修正プログラム:

    * undertowクエリの特殊文字によってサーバーエラーが発生します [eap-7.1.z]CVE-2020-27782

    * wildflyWildfly Enterprise Java Beans での安全でない逆シリアル化 [eap-7.1.z]CVE-2020-10740

    * libthrift信頼できないペイロードを処理する際の潜在的な DoS [eap-7.1.z]CVE-2020-13949

    * netty-allnetty-codecSnappyFrameDecoder がチャンク長を制限せず、不要な方法でスキップ可能なチャンクをバッファする可能性があります [eap-7.1.z]CVE-2021-37137

    * hibernate-corehibernate.use_sql_comments と JPQL 文字列リテラルの両方が使用されている場合の SQL インジェクションの脆弱性 [eap-7.1.z]CVE-2020-25638

    * wildfly-opensslWildFly OpenSSL での HTTP セッション作成ごとのメモリ漏洩 - WFSSL-51 - 相互認証および OpenSSL によるメモリ漏洩CVE-2020-25644

    * netty-allnetty-codecBzip2Decoder が、展開されたデータに対してサイズ制限を設定することを許可しません [eap-7.1.z]CVE-2021-37136

    * jackson-databind深度の高いネスト化されたオブジェクトによるサービス拒否 [eap-7.1.z]CVE-2020-36518

    * eapJBoss EAPwildfly-elytron に SSRF のセキュリティ問題があります [eap-7.1.z]CVE-2024-1233

    * keycloakorg.keycloak.protocol.oidccheckLoginIframe の未検証のクロスオリジンメッセージが DDoS を引き起こします [eap-7.1.z]CVE-2024-1249

    * undertowhttps 接続のサーバー識別は、undertow クライアントによってチェックされません [eap-7.1.z]CVE-2022-4492

    * undertowAJP リクエストが maxRequestSize を超える接続を切断します [eap-7.1.z]CVE-2023-5379

    * undertowHTTP/2 のフローコントロールにある潜在的なセキュリティ問題が、DOS につながる可能性があります に対する不完全な修正 CVE-2021-3629eap-7.1.zCVE-2022-1259

    * wildfly-elytron安全でないコンパレータの使用によるタイミング攻撃の可能性 [eap-7.1.z]CVE-2022-3143

    * jakarta-elELParserTokenManager により、無効な EL 式を評価できるようにします [eap-7.1.z]CVE-2021-28170

    影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
153835	RHEL 7：RHEL 7上のRed Hat JBoss Enterprise Application Platform 7.4.1のセキュリティ更新プログラム（重要度高）（RHSA-2021：3656)	Nessus	Red Hat Local Security Checks	2021/10/1	2024/11/7	high
160036	Oracle WebLogic Server (2022 年 4 月 CPU)	Nessus	Misc.	2022/4/21	2024/1/4	critical
223721	Linux Distros のパッチ未適用の脆弱性: CVE-2021-28170	Nessus	Misc.	2025/3/4	2025/10/14	medium
153832	RHEL 8：RHEL 8上のRed Hat JBoss Enterprise Application Platform 7.4.1のセキュリティ更新プログラム（重要度高）（RHSA-2021：3658)	Nessus	Red Hat Local Security Checks	2021/10/1	2024/11/7	high
165138	RHEL 8：RHEL 8上のRed Hat JBoss Enterprise Application Platform 7.3.9のセキュリティ更新プログラム（重要度高）（RHSA-2021：3468)	Nessus	Red Hat Local Security Checks	2022/9/15	2024/11/8	medium
165115	RHEL 6: RHEL 6 上の Red Hat JBoss Enterprise Application Platform 7.3.9 のセキュリティ更新プログラム (重要度高) (RHSA-2021: 3466)	Nessus	Red Hat Local Security Checks	2022/9/15	2024/11/7	medium
165158	RHEL 7: RHEL 7上のRed Hat JBoss Enterprise Application Platform 7.3.9のセキュリティ更新プログラム（重要度高）（RHSA-2021：3467)	Nessus	Red Hat Local Security Checks	2022/9/15	2024/11/7	medium
240506	RHEL 7 : RHEL 7 上の Red Hat JBoss Enterprise Application Platform 7.1.11 (RHSA-2025:9582)	Nessus	Red Hat Local Security Checks	2025/6/25	2025/10/9	high

検出

プラグインの検索

high

critical

medium

high

medium

medium

medium

high