自己報告されたバージョンによると、リモートの Web サーバーで実行されている Drupal のインスタンスは 9.2.15 より前の 9.2.x、または 9.3.8 より前の 9.3.x です。したがって、WYSIWYG 編集用のサードパーティコンポーネントである CKEditor の使用による複数の脆弱性の影響を受けます。

 - CKEditor 4 HTML 処理コアモジュールに脆弱性が発見されました。この脆弱性により、コンテンツのサニタイズをバイパスして無効な形式の HTML を挿入し、JavaScript コードが実行される可能性があります。(CVE-2022-24728)

 - CKEditor 4 ダイアログプラグインに脆弱性が発見されました。この脆弱性により、ダイアログ入力バリデータの正規表現の悪用が可能になり、パフォーマンスが大幅に低下し、ブラウザのタブがフリーズする可能性があります。(CVE-2022-24729)

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10 ホストには USN-7258-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    Kevin Backhouse 氏は、CKEditor が HTML コンテンツを適切にサニタイズしていないことを発見しました。攻撃者はこの問題を利用してクロスサイトスクリプティングを実行し、機密情報を取得する可能性があります。この問題は、Ubuntu 16.04 LTS、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS、および Ubuntu 22.04 LTS にのみ影響を与えます。(CVE-2022-24728)

    CKEditor が Iframe Dialog および Media Embed パッケージでエディターインスタンスの作成を適切に処理していないことを検出しました。攻撃者はこの問題を利用してクロスサイトスクリプティングを実行し、機密情報を取得する可能性があります。この問題は、Ubuntu 16.04 LTS、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS、および Ubuntu 22.04 LTS にのみ影響を与えます。(CVE-2023-28439)

    CKEditor が HTML コンテンツの解析を適切に処理しないことが判明しました。攻撃者はこの問題を利用してクロスサイトスクリプティングを実行し、機密情報を取得する可能性があります。(CVE-2024-24815、CVE-2024-24816)

    CKEditor がバージョン通知を適切にサニタイズしないことが判明しました。攻撃者はこの問題を利用してクロスサイトスクリプティングを実行し、機密情報を取得する可能性があります。この問題の影響を受けるのは、Ubuntu 24.04 LTS と Ubuntu 24.10 のみです。(CVE-2024-43411)

Tenable は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている IBM Cognos Analytics のバージョンは、11.1.7 Fix Pack 7 より前の 11.1.x または FP1 11.2.4 より前の 11.2.x です。そのため、以下を含む複数の脆弱性による影響を受けます:

  - GNOME libxml2 では、xinclude.c の xmlXIncludeDoProcess() 関数のメモリ解放後使用 (use-after-free) の欠陥が原因で、リモートの攻撃者がシステム上で任意のコードを実行する可能性があります。特別に細工されたファイルを送信することで、攻撃者がこの脆弱性を悪用して、システムで任意のコードを実行する可能性があります。(CVE-2021-3518)

  - Node.js では、providers.dll の DLL 検索順序ハイジャックが原因で、ローカルの攻撃者がシステム上で昇格した権限を取得する可能性があります。攻撃者が特別に細工されたファイルを配置することで、この脆弱性を悪用して権限を昇格する可能性があります。(CVE-2022-32223)

  - Node.js でマークされたモジュールは、inline.reflinkSearch の正規表現のサービス拒否 (ReDoS) の欠陥が原因で発生する、サービス拒否に対して脆弱です。リモートの攻撃者が、特別に細工された正規表現の入力を送信することで、この脆弱性を悪用してサービス拒否状態を引き起こす可能性があります。(CVE-2022-21681)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている IBM Engineering Requirements Management DOORS (旧 IBM Rational DOORS) のバージョンは、9.7.2.10 より前の 9.7.2.9 です。したがって、7238992アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - CKEditor4 はオープンソースの WYSIWYG HTML エディターです。影響を受けるバージョンのコア HTML 処理モジュールに脆弱性が発見されました。CKEditor 4 が使用するすべてのプラグインに影響を与える可能性があります。この脆弱性により、無効な形式のコメントの HTML が挿入されてコンテンツのサニタイズがバイパスされ、JavaScript コードが実行される可能性があります。バージョン < 4.17.0 の CKEditor 4 を使用しているすべてのユーザーに影響します。この問題は認識され、パッチが適用されました。この修正は、バージョン 4.17.0 で利用可能です。(CVE-2021-41165)

  - CKEditor4 はオープンソースの WYSIWYG HTML エディターです。影響を受けるバージョンの Advanced Content Filter (ACF) モジュールに脆弱性が発見されました。CKEditor 4 が使用するすべてのプラグインに影響を与える可能性があります。この脆弱性により、無効な形式の HTML が挿入されてコンテンツのサニタイズがバイパスされ、JavaScript コードが実行される可能性があります。バージョン < 4.17.0 の CKEditor 4 を使用しているすべてのユーザーに影響します。この問題は認識され、パッチが適用されました。この修正は、バージョン 4.17.0 で利用可能です。(CVE-2021-41164)

  - 4.16 より前の CKEditor 4 内で、被害者を誘導して特定のダイアログの Styles 入力に細工されたテキストを貼り付けることで、ReDoS タイプの攻撃を実行することが可能でした。Dialogs プラグイン用の Advanced Tab 内。CVE-2021-26271

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Fedora 36 ホストには、FEDORA-2022-b61dfd219b のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - CKEditor4 はオープンソースの WYSIWYG HTML エディターです。影響を受けるバージョンの Advanced Content Filter (ACF) モジュールに脆弱性が発見されました。CKEditor 4 が使用するすべてのプラグインに影響を与える可能性があります。この脆弱性により、無効な形式の HTML が挿入されてコンテンツのサニタイズがバイパスされ、JavaScript コードが実行される可能性があります。バージョン < 4.17.0 の CKEditor 4 を使用しているすべてのユーザーに影響します。この問題は認識され、パッチが適用されました。この修正は、バージョン 4.17.0 で利用可能です。(CVE-2021-41164)

  - CKEditor4 はオープンソースの WYSIWYG HTML エディターです。影響を受けるバージョンのコア HTML 処理モジュールに脆弱性が発見されました。CKEditor 4 が使用するすべてのプラグインに影響を与える可能性があります。この脆弱性により、無効な形式のコメントの HTML が挿入されてコンテンツのサニタイズがバイパスされ、JavaScript コードが実行される可能性があります。バージョン < 4.17.0 の CKEditor 4 を使用しているすべてのユーザーに影響します。この問題は認識され、パッチが適用されました。この修正は、バージョン 4.17.0 で利用可能です。(CVE-2021-41165)

  - CKEditor4 はオープンソースの what-you-see-is-what-you-get HTML エディターです。コア HTML 処理モジュールに脆弱性が見つかりました。バージョン 4.18.0 より前の CKEditor 4 で使用されるすべてのプラグインに影響を与える可能性があります。
    この脆弱性により、誰かがコンテンツのサニタイズをバイパスして無効な形式の HTML を挿入し、JavaScript コードが実行される可能性があります。この問題は、バージョン 4.18.0 でパッチが適用されました。現在、既知の回避策はありません。(CVE-2022-24728)

  - CKEditor4 はオープンソースの what-you-see-is-what-you-get HTML エディターです。バージョン 4.18.0 より前の CKEditor4 には、「dialog」プラグインの脆弱性があります。この脆弱性により、ダイアログ入力バリデータの正規表現の悪用が可能になり、パフォーマンスが大幅に低下し、ブラウザのタブがフリーズする可能性があります。パッチがバージョン 4.18.0で利用可能です。現在、既知の回避策はありません。(CVE-2022-24729)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

自己報告されたバージョンによると、リモートの Web サーバーで実行されている Drupal のインスタンスは 9.2.15 より前の 9.2.x、または 9.3.8 より前の 9.3.x です。したがって、複数の脆弱性の影響を受けます。

  - CKEditor4 はオープンソースの what-you-see-is-what-you-get HTML エディターです。バージョン 4.18.0 より前の CKEditor4 には、「dialog」プラグインの脆弱性があります。この脆弱性により、ダイアログ入力バリデータの正規表現の悪用が可能になり、パフォーマンスが大幅に低下し、ブラウザのタブがフリーズする可能性があります。パッチがバージョン 4.18.0で利用可能です。現在、既知の回避策はありません。(CVE-2022-24729)

  - CKEditor4 はオープンソースの what-you-see-is-what-you-get HTML エディターです。コア HTML 処理モジュールに脆弱性が見つかりました。バージョン 4.18.0 より前の CKEditor 4 で使用されるすべてのプラグインに影響を与える可能性があります。
    この脆弱性により、誰かがコンテンツのサニタイズをバイパスして無効な形式の HTML を挿入し、JavaScript コードが実行される可能性があります。この問題は、バージョン 4.18.0 でパッチが適用されました。現在、既知の回避策はありません。(CVE-2022-24728)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされている IBM Engineering Requirements Management DOORS (旧 IBM Rational DOORS) のバージョンは、9.7.2.8 より前の 9.7.2.x です。したがって、7124058 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - 1.9.1 より前の Apache Shiro、RegexRequestMatcher が誤って構成され、一部のサーブレットコンテナでバイパスされる可能性があります。正規表現で「.」を持つ RegExPatternMatcher を使用するアプリケーションは、認証バイパスに対して脆弱である可能性があります。(CVE-2022-32532)

  - Java OpenWire プロトコルマーシャラーは、リモートコード実行の脆弱性があります。この脆弱性により、Java ベースの OpenWire ブローカーまたはクライアントにネットワークアクセス権があるリモートの攻撃者が、OpenWire プロトコルのシリアル化されたクラスタイプを操作してクライアントまたはブローカーに (それぞれ) クラスパス上の任意のクラスをインスタンス化させることで、任意のシェルコマンドを実行する可能性があります。ユーザーには、ブローカーとクライアントの両方を、この問題を修正したバージョンであるバージョン 5.15.16、5.16.7、5.17.6、または 5.18.3 にアップグレードすることをお勧めします。
    (CVE-2023-46604)

  - 2.13.9 の前の Scala 2.13.x は、JAR ファイルに Java 逆シリアル化チェーンがあります。単独では悪用できません。アプリケーション内の Java オブジェクト逆シリアル化に関連するリスクのみがあります。このような状況では、攻撃者がガジェットチェーンを介して、任意のファイルのコンテンツを消去したり、ネットワーク接続を行ったり、任意のコード (特に、Function0 関数) を実行したりする可能性があります。(CVE-2022-36944)

  - IBM Engineering Requirements Management DOORS 9.7.2.7 は、クロスサイトリクエスト偽造に対して脆弱です。これにより、攻撃者が、Web サイトが信頼するユーザーから送信された悪意のある認証されていないアクションを実行する可能性があります。IBM X-Force ID: 251216. (CVE-2023-28949)

  - CKEditor 4.14 以前の 4.0 の HTML Data Processor のクロスサイトスクリプティング (XSS ) の脆弱性により、リモートの攻撃者が、細工された保護されたコメント (cke_protected 構文を使用 ) を使用して任意の Web スクリプトを挿入する可能性があります。(CVE-2020-9281)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - CKEditor4 はオープンソースの what-you-see-is-what-you-get HTML エディターです。コア HTML 処理モジュールに脆弱性が見つかりました。バージョン 4.18.0 より前の CKEditor 4 で使用されるすべてのプラグインに影響を与える可能性があります。
    この脆弱性により、誰かがコンテンツのサニタイズをバイパスして無効な形式の HTML を挿入し、JavaScript コードが実行される可能性があります。この問題は、バージョン 4.18.0 でパッチが適用されました。現在、既知の回避策はありません。(CVE-2022-24728)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
113204	Drupal 9.2.x < 9.2.15 のサードパーティライブラリの脆弱性	Web App Scanning	Component Vulnerability	2022/3/18	2023/3/14	high
113206	Drupal 9.3.x < 9.3.8 のサードパーティライブラリの脆弱性	Web App Scanning	Component Vulnerability	2022/3/18	2023/3/14	high
215049	Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS / 22.04 LTS / 24.04 LTS / 24.10 : CKEditor の脆弱性 (USN-7258-1)	Nessus	Ubuntu Local Security Checks	2025/2/6	2025/9/3	medium
175429	IBM Cognos Analytics の複数の脆弱性 (6986505)	Nessus	CGI abuses	2023/5/12	2023/7/27	critical
242323	IBM Engineering Requirements Management DOORS 9.7.2.9 < 9.7.2.10 の複数の脆弱性7238992	Nessus	Windows	2025/7/18	2026/3/27	medium
169023	Fedora 36: ckeditor (2022-b61dfd219b)	Nessus	Fedora Local Security Checks	2022/12/21	2024/11/14	medium
158982	Drupal 9.2.x < 9.2.15 / 9.3.x < 9.3.8 の複数の脆弱性 (drupal-2022-03-16)	Nessus	CGI abuses	2022/3/16	2023/11/6	medium
191754	IBM Engineering Requirements Management DOORS 9.7.2.x < 9.7.2.8 複数の脆弱性 (7124058)	Nessus	Windows	2024/3/8	2026/3/27	critical
250769	Linux Distros のパッチ未適用の脆弱性: CVE-2022-24728	Nessus	Misc.	2025/8/18	2026/4/28	medium

検出

プラグインの検索

high

high

medium

critical

medium

medium

medium

critical

medium