Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Undertow に欠陥が見つかりました。UndertowサーバーがEJB呼び出しのためにLAST_CHUNKを永久に待機するとき、サービス拒否が発生する可能性があります。CVE-2022-2764

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモート Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2022: 8791 のアドバイザリに記載されている脆弱性の影響を受けます。

  - Undertow: Undertow サーバーが EJB 呼び出しの LAST_CHUNK を永久に待機することで、DoS を達成する可能性があります (CVE-2022-2764)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存しています。

リモート Redhat Enterprise Linux 7 ホストに、RHSA-2023:1043 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - bootstrap: collapse data-parent 属性のクロスサイトスクリプティング (XSS) (CVE-2018-14040)

  - bootstrap: ツールチップの data-container プロパティのクロスサイトスクリプティング (XSS) (CVE-2018-14042)

  - jquery: サービス拒否、リモートコード実行、またはプロパティインジェクションにつながる、オブジェクトのプロトタイプのプロトタイプ汚染 (CVE-2019-11358)

  - jquery: injQuery.htmlPrefilter メソッドが不適切なことによるクロスサイトスクリプティング (CVE-2020-11022)

  - jquery: DOM 操作メソッドへ渡される HTML の <option> タグを介した信頼されていないコード実行 (CVE-2020-11023)

  - glob-parent: 正規表現のサービス拒否 (CVE-2021-35065)

  - minimist: プロトタイプ汚染 (CVE-2021-44906)

  - keycloak: execute-actions-email Admin REST API における HTML インジェクション (CVE-2022-1274)

  - keycloak: 特定の状況でのなりすましの XSS (CVE-2022-1438)

  - SnakeYaml: コンストラクター逆シリアル化のリモートコード実行 (CVE-2022-1471)

  - Undertow: Undertow サーバーが EJB 呼び出しの LAST_CHUNK を永久に待機することで、DoS を達成する可能性があります (CVE-2022-2764)

  - keycloak: OIDC オフラインリフレッシュトークンによるセッション乗っ取り (CVE-2022-3916)

  - keycloak: 反映された XSS 攻撃 (CVE-2022-4137)

  - Moment.js: moment.locale のパストラバーサル (CVE-2022-24785)

  - snakeyaml: コレクションのネスト化された深度制限の欠落によるサービス拒否 (CVE-2022-25857)

  - moment: 非効率的な解析アルゴリズムにより DoS が発生 (CVE-2022-31129)

  - loader-utils: 正規表現のサービス拒否 (CVE-2022-37603)

  - snakeyaml: org.yaml.snakeyaml.composer.Composer.composeSequenceNode のキャッチされない例外 (CVE-2022-38749)

  - snakeyaml: org.yaml.snakeyaml.constructor.BaseConstructor.constructObject のキャッチされない例外 (CVE-2022-38750)

  - snakeyaml: java.base/java.util.regex.Pattern$Ques.match のキャッチされない例外 (CVE-2022-38751)

  - jettison: stackoverflow によるパーサーのクラッシュ (CVE-2022-40149)

  - jettison: ユーザー指定の XML または JSON データによるメモリ枯渇 (CVE-2022-40150)

  - jackson-databind: UNWRAP_SINGLE_VALUE_ARRAYS に関するネスト化された深いラッパー配列 (CVE-2022-42003)

  - jackson-databind: 深くネスト化された配列の使用 (CVE-2022-42004)

  - mina-sshd: Java の安全ではない逆シリアル化の脆弱性 (CVE-2022-45047)

  - jettison: map の値がマップの自己である場合、新しい JSONObject(map) により StackOverflowError が発生し、dos が発生する可能性があります (CVE-2022-45693)

  - json5: Parse メソッドによる JSON5 のプロトタイプ汚染 (CVE-2022-46175)

  - Apache CXF: ディレクトリリスト/コード漏洩 (CVE-2022-46363)

  - Apache CXF: SSRF の脆弱性 (CVE-2022-46364)

  - keycloak: クライアント登録エンドポイントがトークン失効をチェックしない (CVE-2023-0091)

  - keycloak: 盗まれた uuid コードによるユーザーのなりすまし (CVE-2023-0264)

Nessus はこれらの問題をテストしておらず、代わりにアプリケー代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモート Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2022: 8792 のアドバイザリに記載されている脆弱性の影響を受けます。

  - Undertow: Undertow サーバーが EJB 呼び出しの LAST_CHUNK を永久に待機することで、DoS を達成する可能性があります (CVE-2022-2764)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2023: 1045 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - bootstrap: collapse data-parent属性のクロスサイトスクリプティング (XSS) (CVE-2018-14040)

  - bootstrap: ツールチップのdata-containerプロパティのクロスサイトスクリプティング (XSS) (CVE-2018-14042)

  - jquery: サービス拒否、リモートコード実行、またはプロパティインジェクションにつながる、オブジェクトのプロトタイプのプロトタイプ汚染 (CVE-2019-11358)

  - jquery: injQuery.htmlPrefilterメソッドが不適切なことによるクロスサイトスクリプティング (CVE-2020-11022)

  - jquery:  DOM 操作メソッドへ渡される HTML の <option>タグを介した信頼されていないコード実行 (CVE-2020-11023)

  - glob-parent: 正規表現のサービス拒否 (CVE-2021-35065)

  - minimist: プロトタイプ汚染 (CVE-2021-44906)

  - keycloak: execute-actions-email Admin REST API における HTML インジェクション (CVE-2022-1274)

  - keycloak: 特定の状況でのなりすましの XSS (CVE-2022-1438)

  - SnakeYaml: コンストラクター逆シリアル化のリモートコード実行 (CVE-2022-1471)

  - Moment.js: Moment.locale のパストラバーサル (CVE-2022-24785)

  - snakeyaml: コレクションのネスト化された深度制限の欠落によるサービス拒否 (CVE-2022-25857)

  - Undertow: Undertow サーバーが EJB 呼び出しの LAST_CHUNK を永久に待機することで、DoS を達成する可能性があります (CVE-2022-2764)

  - moment: 非効率的な解析アルゴリズムにより DoS が発生 (CVE-2022-31129)

  - loader-utils: 正規表現のサービス拒否 (CVE-2022-37603)

  - keycloak: 二重 URL エンコーディングによるパストラバーサル (CVE-2022-3782)

  - snakeyaml: org.yaml.snakeyaml.composer.Composer.composeSequenceNode のキャッチされない例外 (CVE-2022-38749)

  - snakeyaml: org.yaml.snakeyaml.constructor.BaseConstructor.constructObject のキャッチされない例外 (CVE-2022-38750)

  - snakeyaml: java.base/java.util.regex.Pattern$Ques.match のキャッチされない例外 (CVE-2022-38751)

  - keycloak: OIDC オフラインリフレッシュトークンによるセッション乗っ取り (CVE-2022-3916)

  - jettison: stackoverflowによるパーサーのクラッシュ (CVE-2022-40149)

  - jettison: ユーザー指定の XML または JSON データによるメモリ枯渇 (CVE-2022-40150)

  - keycloak: 反映された XSS 攻撃 (CVE-2022-4137)

  - jackson-databind: UNWRAP_SINGLE_VALUE_ARRAYSに関するネスト化された深いラッパー配列 (CVE-2022-42003)

  - jackson-databind: 深くネスト化された配列の使用 (CVE-2022-42004)

  - mina-sshd: Java の安全ではない逆シリアル化の脆弱性 (CVE-2022-45047)

  - jettison: map の値がマップの自己である場合、新しい JSONObject (map) により StackOverflowError が発生し、dos が発生する可能性があります (CVE-2022-45693)

  - json5: Parse メソッドによる JSON5 のプロトタイプ汚染 (CVE-2022-46175)

  - Apache CXF: ディレクトリリスト/コード漏洩 (CVE-2022-46363)

  - Apache CXF: SSRF の脆弱性 (CVE-2022-46364)

  - keycloak: クライアント登録エンドポイントがトークン失効をチェックしない (CVE-2023-0091)

  - keycloak: 盗まれた uuid コードによるユーザーのなりすまし (CVE-2023-0264)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモート Redhat Enterprise Linux 7 ホストにインストールされているパッケージは、RHSA-2022: 8790 のアドバイザリに記載されている脆弱性の影響を受けます。

  - Undertow: Undertow サーバーが EJB 呼び出しの LAST_CHUNK を永久に待機することで、DoS を達成する可能性があります (CVE-2022-2764)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存しています。

リモートの Redhat Enterprise Linux 8 ホストにインストールされているパッケージは、RHSA-2023: 1044 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - bootstrap: collapse data-parent属性のクロスサイトスクリプティング (XSS) (CVE-2018-14040)

  - bootstrap: ツールチップのdata-containerプロパティのクロスサイトスクリプティング (XSS) (CVE-2018-14042)

  - jquery: サービス拒否、リモートコード実行、またはプロパティインジェクションにつながる、オブジェクトのプロトタイプのプロトタイプ汚染 (CVE-2019-11358)

  - jquery: injQuery.htmlPrefilterメソッドが不適切なことによるクロスサイトスクリプティング (CVE-2020-11022)

  - jquery:  DOM 操作メソッドへ渡される HTML の <option>タグを介した信頼されていないコード実行 (CVE-2020-11023)

  - glob-parent: 正規表現のサービス拒否 (CVE-2021-35065)

  - minimist: プロトタイプ汚染 (CVE-2021-44906)

  - keycloak: execute-actions-email Admin REST API における HTML インジェクション (CVE-2022-1274)

  - keycloak: 特定の状況でのなりすましの XSS (CVE-2022-1438)

  - SnakeYaml: コンストラクター逆シリアル化のリモートコード実行 (CVE-2022-1471)

  - Moment.js: Moment.locale のパストラバーサル (CVE-2022-24785)

  - snakeyaml: コレクションのネスト化された深度制限の欠落によるサービス拒否 (CVE-2022-25857)

  - Undertow: Undertow サーバーが EJB 呼び出しの LAST_CHUNK を永久に待機することで、DoS を達成する可能性があります (CVE-2022-2764)

  - moment: 非効率的な解析アルゴリズムにより DoS が発生 (CVE-2022-31129)

  - loader-utils: 正規表現のサービス拒否 (CVE-2022-37603)

  - keycloak: 二重 URL エンコーディングによるパストラバーサル (CVE-2022-3782)

  - snakeyaml: org.yaml.snakeyaml.composer.Composer.composeSequenceNode のキャッチされない例外 (CVE-2022-38749)

  - snakeyaml: org.yaml.snakeyaml.constructor.BaseConstructor.constructObject のキャッチされない例外 (CVE-2022-38750)

  - snakeyaml: java.base/java.util.regex.Pattern$Ques.match のキャッチされない例外 (CVE-2022-38751)

  - keycloak: OIDC オフラインリフレッシュトークンによるセッション乗っ取り (CVE-2022-3916)

  - jettison: stackoverflowによるパーサーのクラッシュ (CVE-2022-40149)

  - jettison: ユーザー指定の XML または JSON データによるメモリ枯渇 (CVE-2022-40150)

  - keycloak: 反映された XSS 攻撃 (CVE-2022-4137)

  - jackson-databind: UNWRAP_SINGLE_VALUE_ARRAYSに関するネスト化された深いラッパー配列 (CVE-2022-42003)

  - jackson-databind: 深くネスト化された配列の使用 (CVE-2022-42004)

  - mina-sshd: Java の安全ではない逆シリアル化の脆弱性 (CVE-2022-45047)

  - jettison: map の値がマップの自己である場合、新しい JSONObject (map) により StackOverflowError が発生し、dos が発生する可能性があります (CVE-2022-45693)

  - json5: Parse メソッドによる JSON5 のプロトタイプ汚染 (CVE-2022-46175)

  - Apache CXF: ディレクトリリスト/コード漏洩 (CVE-2022-46363)

  - Apache CXF: SSRF の脆弱性 (CVE-2022-46364)

  - keycloak: クライアント登録エンドポイントがトークン失効をチェックしない (CVE-2023-0091)

  - keycloak: 盗まれた uuid コードによるユーザーのなりすまし (CVE-2023-0264)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
253272	Linux Distros のパッチ未適用の脆弱性: CVE-2022-2764	Nessus	Misc.	2025/8/21	2025/9/1	medium
168410	RHEL 8 : Red Hat JBoss Enterprise Application Platform 7.4.8 のセキュリティ更新プログラム (重要度低) (RHSA-2022: 8791)	Nessus	Red Hat Local Security Checks	2022/12/6	2024/11/7	medium
172041	RHEL 7 : RHEL 7 における Red Hat Single Sign-On 7.6.2 のセキュリティ更新 (重要度高) (RHSA-2023:1043)	Nessus	Red Hat Local Security Checks	2023/3/2	2025/1/24	critical
168409	RHEL 9 : Red Hat JBoss Enterprise Application Platform 7.4.8 のセキュリティ更新プログラム (重要度低) (RHSA-2022: 8792)	Nessus	Red Hat Local Security Checks	2022/12/6	2024/11/7	medium
172039	RHEL 9: RHEL 9 用 Red Hat Single Sign-On 7.6.2 のセキュリティ更新 (重要度高) (RHSA-2023: 1045)	Nessus	Red Hat Local Security Checks	2023/3/1	2025/1/24	critical
168411	RHEL 7: Red Hat JBoss Enterprise Application Platform 7.4.8 のセキュリティ更新プログラム (重要度低) (RHSA-2022: 8790)	Nessus	Red Hat Local Security Checks	2022/12/6	2024/11/7	medium
172042	RHEL 8: RHEL 8 用 Red Hat Single Sign-On 7.6.2 のセキュリティ更新 (重要度高) (RHSA-2023: 1044)	Nessus	Red Hat Local Security Checks	2023/3/2	2025/1/24	critical

検出

プラグインの検索

medium

medium

critical

medium

critical

medium

critical