リモートの Fedora 37 ホストには、FEDORA-2023-2884ba1528 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - TELNET プロトコルを使用する通信中、curl <8.0 に入力検証の脆弱性があるため、攻撃者がサーバーネゴシエーション中に、悪意を持って細工されたユーザー名と telnet オプションを渡す可能性があります。
    適切な入力スクラブがないため、攻撃者がアプリケーションの意図なしにコンテンツを送信したり、オプションのネゴシエーションを実行したりする可能性があります。アプリケーションがユーザー入力を許可している場合、この脆弱性が悪用され、攻撃者がシステム上で任意のコードを実行する可能性があります。(CVE-2023-27533)

  - libcurl <8.0.0 の FTP 接続の再利用機能に認証バイパスの脆弱性が存在します。これにより、その後の転送中に誤った認証情報が使用される可能性があります。以前に作成された接続は、現在のセットアップと一致する場合、再利用のために接続プールに保持されます。ただし、CURLOPT_FTP_ACCOUNT、CURLOPT_FTP_ALTERNATIVE_TO_USER、CURLOPT_FTP_SSL_CCC、CURLOPT_USE_SSL などの特定の FTP 設定が設定一致チェックに含まれていないため、これらの一致が簡単になりすぎます。これにより、転送の実行時に libcurl が間違った認証情報を使用することになり、機密情報への不正なアクセスが行われる可能性があります。(CVE-2023-27535)

  - 接続再利用機能に libcurl <8.0.0 の認証バイパスの脆弱性が存在します。これにより、CURLOPT_GSSAPI_DELEGATION オプションの変更をチェックできないため、以前に確立された接続を不適切なユーザーアクセス許可で再利用する可能性があります。この脆弱性は、krb5/kerberos/negotiate/GSSAPI 転送に影響を与え、機密情報への不正アクセスを引き起こす可能性があります。CURLOPT_GSSAPI_DELEGATION オプションが変更されている場合、接続を再利用しないことが最も安全なオプションです。(CVE-2023-27536)

  - curl <8.0.0 にパストラバーサルの脆弱性があります。SFTP の実装により、最初のパス要素でプレフィックスとして使用されると、最初の要素としての意図された使用に加えて、チルダ (~) 文字が誤って置換され、ユーザーのホームディレクトリに対応するパスが示されます。攻撃者はこの欠陥を悪用して、特定のユーザーでサーバーにアクセスしている間に /~2/foo のようなパスを作成することで、フィルタリングをバイパスしたり、任意のコードを実行したりする可能性があります。(CVE-2023-27534)

  - SSH オプションが変更されて再利用が防止されるはずだったにもかかわらず、v8.0.0 以前の libcurl に認証バイパスの脆弱性があるため、以前に確立された SSH 接続が再利用されます。libcurl は、以前に使用された接続のプールを維持し、設定が一致する場合、その後の転送で再利用します。ただし、2 つの SSH 設定が設定チェックから省略されているため、簡単に一致させることができ、不適切な接続が再利用される可能性があります。(CVE-2023-27538)

  - 別々のハンドル間で HSTS データを共有する際に、libcurl <8.0.0 に二重解放の脆弱性が存在します。
    この共有は、別のスレッド間でこの共有を行うことを考慮せずに導入されましたが、ドキュメントにはこの事実が示されていませんでした。mutex またはスレッドロックの欠落により、同じ HSTS データを共有する 2 つのスレッドが二重解放またはメモリ解放後使用 (Use After Free) を実行する可能性があります。(CVE-2023-27537)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

したがって、ALAS2023-2023-193 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - TELNET プロトコルを使用する通信中、curl <8.0 に入力検証の脆弱性があるため、攻撃者がサーバーネゴシエーション中に、悪意を持って細工されたユーザー名と telnet オプションを渡す可能性があります。
    適切な入力スクラブがないため、攻撃者がアプリケーションの意図なしにコンテンツを送信したり、オプションのネゴシエーションを実行したりする可能性があります。アプリケーションがユーザー入力を許可している場合、この脆弱性が悪用され、攻撃者がシステム上で任意のコードを実行する可能性があります。(CVE-2023-27533)

  - curl <8.0.0 にパストラバーサルの脆弱性があります。SFTP の実装により、最初のパス要素でプレフィックスとして使用されると、最初の要素としての意図された使用に加えて、チルダ (~) 文字が誤って置換され、ユーザーのホームディレクトリに対応するパスが示されます。攻撃者はこの欠陥を悪用して、特定のユーザーでサーバーにアクセスしている間に /~2/foo のようなパスを作成することで、フィルタリングをバイパスしたり、任意のコードを実行したりする可能性があります。(CVE-2023-27534)

  - libcurl <8.0.0 の FTP 接続の再利用機能に認証バイパスの脆弱性が存在します。これにより、その後の転送中に誤った認証情報が使用される可能性があります。以前に作成された接続は、現在のセットアップと一致する場合、再利用のために接続プールに保持されます。ただし、CURLOPT_FTP_ACCOUNT、CURLOPT_FTP_ALTERNATIVE_TO_USER、CURLOPT_FTP_SSL_CCC、CURLOPT_USE_SSL などの特定の FTP 設定が設定一致チェックに含まれていないため、これらの一致が簡単になりすぎます。これにより、転送の実行時に libcurl が間違った認証情報を使用することになり、機密情報への不正なアクセスが行われる可能性があります。(CVE-2023-27535)

  - 接続再利用機能に libcurl <8.0.0 の認証バイパスの脆弱性が存在します。これにより、CURLOPT_GSSAPI_DELEGATION オプションの変更をチェックできないため、以前に確立された接続を不適切なユーザーアクセス許可で再利用する可能性があります。この脆弱性は、krb5/kerberos/negotiate/GSSAPI 転送に影響を与え、機密情報への不正アクセスを引き起こす可能性があります。CURLOPT_GSSAPI_DELEGATION オプションが変更されている場合、接続を再利用しないことが最も安全なオプションです。(CVE-2023-27536)

  - 別々のハンドル間で HSTS データを共有する際に、libcurl <8.0.0 に二重解放の脆弱性が存在します。
    この共有は、別のスレッド間でこの共有を行うことを考慮せずに導入されましたが、ドキュメントにはこの事実が示されていませんでした。mutex またはスレッドロックの欠落により、同じ HSTS データを共有する 2 つのスレッドが二重解放またはメモリ解放後使用 (Use After Free) を実行する可能性があります。(CVE-2023-27537)

  - SSH オプションが変更されて再利用が防止されるはずだったにもかかわらず、v8.0.0 以前の libcurl に認証バイパスの脆弱性があるため、以前に確立された SSH 接続が再利用されます。libcurl は、以前に使用された接続のプールを維持し、設定が一致する場合、その後の転送で再利用します。ただし、2 つの SSH 設定が設定チェックから省略されているため、簡単に一致させることができ、不適切な接続が再利用される可能性があります。(CVE-2023-27538)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存しています。

リモートの Fedora 38 ホストには、FEDORA-2023-0de03a9232 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - TELNET プロトコルを使用する通信中、curl <8.0 に入力検証の脆弱性があるため、攻撃者がサーバーネゴシエーション中に、悪意を持って細工されたユーザー名と telnet オプションを渡す可能性があります。
    適切な入力スクラブがないため、攻撃者がアプリケーションの意図なしにコンテンツを送信したり、オプションのネゴシエーションを実行したりする可能性があります。アプリケーションがユーザー入力を許可している場合、この脆弱性が悪用され、攻撃者がシステム上で任意のコードを実行する可能性があります。(CVE-2023-27533)

  - libcurl <8.0.0 の FTP 接続の再利用機能に認証バイパスの脆弱性が存在します。これにより、その後の転送中に誤った認証情報が使用される可能性があります。以前に作成された接続は、現在のセットアップと一致する場合、再利用のために接続プールに保持されます。ただし、CURLOPT_FTP_ACCOUNT、CURLOPT_FTP_ALTERNATIVE_TO_USER、CURLOPT_FTP_SSL_CCC、CURLOPT_USE_SSL などの特定の FTP 設定が設定一致チェックに含まれていないため、これらの一致が簡単になりすぎます。これにより、転送の実行時に libcurl が間違った認証情報を使用することになり、機密情報への不正なアクセスが行われる可能性があります。(CVE-2023-27535)

  - 接続再利用機能に libcurl <8.0.0 の認証バイパスの脆弱性が存在します。これにより、CURLOPT_GSSAPI_DELEGATION オプションの変更をチェックできないため、以前に確立された接続を不適切なユーザーアクセス許可で再利用する可能性があります。この脆弱性は、krb5/kerberos/negotiate/GSSAPI 転送に影響を与え、機密情報への不正アクセスを引き起こす可能性があります。CURLOPT_GSSAPI_DELEGATION オプションが変更されている場合、接続を再利用しないことが最も安全なオプションです。(CVE-2023-27536)

  - curl <8.0.0 にパストラバーサルの脆弱性があります。SFTP の実装により、最初のパス要素でプレフィックスとして使用されると、最初の要素としての意図された使用に加えて、チルダ (~) 文字が誤って置換され、ユーザーのホームディレクトリに対応するパスが示されます。攻撃者はこの欠陥を悪用して、特定のユーザーでサーバーにアクセスしている間に /~2/foo のようなパスを作成することで、フィルタリングをバイパスしたり、任意のコードを実行したりする可能性があります。(CVE-2023-27534)

  - SSH オプションが変更されて再利用が防止されるはずだったにもかかわらず、v8.0.0 以前の libcurl に認証バイパスの脆弱性があるため、以前に確立された SSH 接続が再利用されます。libcurl は、以前に使用された接続のプールを維持し、設定が一致する場合、その後の転送で再利用します。ただし、2 つの SSH 設定が設定チェックから省略されているため、簡単に一致させることができ、不適切な接続が再利用される可能性があります。(CVE-2023-27538)

  - 別々のハンドル間で HSTS データを共有する際に、libcurl <8.0.0 に二重解放の脆弱性が存在します。
    この共有は、別のスレッド間でこの共有を行うことを考慮せずに導入されましたが、ドキュメントにはこの事実が示されていませんでした。mutex またはスレッドロックの欠落により、同じ HSTS データを共有する 2 つのスレッドが二重解放またはメモリ解放後使用 (Use After Free) を実行する可能性があります。(CVE-2023-27537)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、0d7d104c-c6fb-11ed-8a4b-080027f5fec9 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - TELNET プロトコルサポートのドキュメントが欠落しており、サーバーネゴシエーションのためにユーザー名と telnet オプションを渡すことができることが原因の脆弱性が存在します。リモートの攻撃者が接続を操作し、影響を受けるクライアントを介して予期しないデータをサーバーに送信する可能性があります。(CVE-2023-27533)

  - ファイルパスのチルダ〜文字を処理する際に、SFTP サポートにおけるユーザー指定の入力の検証が不十分であることが原因の脆弱性が存在します。cURL は、チルダ文字を現在のユーザーのホームディレクトリに置き換え、それ以外の場合は制限されているファイルを漏洩する可能性があります。(CVE-2023-27534)

  - 1 つ以上のオプションが変更された場合でも、以前に作成された FTP 接続を cURL が再利用することが原因の脆弱性が存在し、有効なユーザーをまったく別なものにする可能性があります。リモートの攻撃者が、別のユーザーから提供された認証情報を使用して FTP サーバーに接続し、それ以外の場合は制限されている機能にアクセスする可能性があります。(CVE-2023-27535)

  - GSS 委任 (CURLOPT_GSSAPI_DELEGATION) オプションが変更されていて、2 回目の転送でユーザーのアクセス許可が変更された場合でも、以前に作成された接続を cURL が再利用することが原因の脆弱性が存在します。libcurl は、以前に使用された接続を接続プールに保持し、そのうちの 1 つが設定と一致する場合、その後の転送で再利用します。ただし、この GSS 委任設定は設定一致チェックから除外されているために、簡単に一致しすぎて、krb5 / kerberos / negotiate / GSSAPI 転送に影響を与えていました。(CVE-2023-27536)

  - 接続間で HSTS データを共有する際の境界エラーが原因の脆弱性が存在します。リモートの攻撃者が HSTS 接続を開始し、二重解放エラーを発生させ、標的のシステムで任意のコードを実行する可能性があります。(CVE-2023-27537)

  - libcurl が、以前に使用された接続を、その後の転送のための接続プールで処理する方法が原因の脆弱性が存在します。複数の SSH 設定が設定一致チェックから除外され、異なるリソースでの誤った一致を引き起こしていました。その結果、libcurl は認証文字列をあるリソースから別のリソースに送信し、認証情報をサードパーティに漏洩する可能性があります。(CVE-2023-27538)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのホストにインストールされている Siemens SINEC NMS は、2.0.1.0 より前のバージョンです。したがって、SSA-943925 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - 3.3.4 までの coreruleset (別名 OWASP ModSecurity コアルールセット) は、一部のプラットフォームで複数の Content-Type リクエストヘッダーを検出しません。これにより、攻撃者が細工されたペイロードで WAF をバイパス (別名 WAF とバックエンドアプリケーション間の Content-Type の取り違え) する可能性があります。これは、ウェブアプリケーションが最後の Content-Type ヘッダーのみに依存している場合に発生します。他のプラットフォームが追加の Content-Type ヘッダーを拒否したり、競合するヘッダーをマージしたりすると、無効な形式のヘッダーとして検出される可能性があります。
    (CVE-2023-38199)

  - Apache HTTP Server バージョン 2.4.0〜 2.4.55の一部の mod_proxy 設定では、HTTP リクエストスマグリング攻撃が可能です。mod_proxy が何らかの形式の RewriteRule または ProxyPassMatch と共に有効化され、非特定のパターンがユーザー指定のリクエストターゲット (URL) データの一部に一致し、変数置換を使用してプロキシされたリクエストターゲットに再挿入されると、設定が影響を受けます。例えば、RewriteRule ^/here/(.*) http://example.com:8080/elsewhere?$1; [P] ProxyPassReverse /here/ http://example.com:8080/ の RewriteEngine リクエストの分割 / スマグリングにより、プロキシサーバーのアクセスコントロールのバイパス、既存のオリジンサーバーへの意図しない URL のプロキシ、キャッシュポイズニングが発生する可能性があります。ユーザーは、少なくともバージョン 2.4.56 の Apache HTTP Server に更新することをお勧めします。(CVE-2023-25690)

  - 「Module._load()」の使用により、ポリシーメカニズムをバイパスし、特定のモジュールの policy.json 定義外にモジュールが必要になる可能性があります。この脆弱性は、次のすべてのアクティブなリリースラインで実験的なポリシーメカニズムを使用しているすべてのユーザーに影響します。16.x、18.x、20.x。注意: この CVE が発行された時点では、このポリシーは Node.js の実験的な機能です。(CVE-2023-32002)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされている Splunk のバージョンは、テスト済みバージョンより前です。したがって、SVD-2023-0808 のアドバイザリに記載されている脆弱性の影響を受けます。

  - decode-uri-component 0.2.0 は、DoS を引き起こす不適切な入力検証に対して脆弱です。(CVE-2022-38900)

  -Node.js の [] より前のパッケージ (

リモートホストにインストールされている curl のバージョンは、8.0.1-1 より前です。したがって、ALAS2-2023-2070 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - TELNET プロトコルを使用する通信中、curl <8.0 に入力検証の脆弱性があるため、攻撃者がサーバーネゴシエーション中に、悪意を持って細工されたユーザー名と telnet オプションを渡す可能性があります。
    適切な入力スクラブがないため、攻撃者がアプリケーションの意図なしにコンテンツを送信したり、オプションのネゴシエーションを実行したりする可能性があります。アプリケーションがユーザー入力を許可している場合、この脆弱性が悪用され、攻撃者がシステム上で任意のコードを実行する可能性があります。(CVE-2023-27533)

  - curl <8.0.0 にパストラバーサルの脆弱性があります。SFTP の実装により、最初のパス要素でプレフィックスとして使用されると、最初の要素としての意図された使用に加えて、チルダ (~) 文字が誤って置換され、ユーザーのホームディレクトリに対応するパスが示されます。攻撃者はこの欠陥を悪用して、特定のユーザーでサーバーにアクセスしている間に /~2/foo のようなパスを作成することで、フィルタリングをバイパスしたり、任意のコードを実行したりする可能性があります。(CVE-2023-27534)

  - libcurl <8.0.0 の FTP 接続の再利用機能に認証バイパスの脆弱性が存在します。これにより、その後の転送中に誤った認証情報が使用される可能性があります。以前に作成された接続は、現在のセットアップと一致する場合、再利用のために接続プールに保持されます。ただし、CURLOPT_FTP_ACCOUNT、CURLOPT_FTP_ALTERNATIVE_TO_USER、CURLOPT_FTP_SSL_CCC、CURLOPT_USE_SSL などの特定の FTP 設定が設定一致チェックに含まれていないため、これらの一致が簡単になりすぎます。これにより、転送の実行時に libcurl が間違った認証情報を使用することになり、機密情報への不正なアクセスが行われる可能性があります。(CVE-2023-27535)

  - 接続再利用機能に libcurl <8.0.0 の認証バイパスの脆弱性が存在します。これにより、CURLOPT_GSSAPI_DELEGATION オプションの変更をチェックできないため、以前に確立された接続を不適切なユーザーアクセス許可で再利用する可能性があります。この脆弱性は、krb5/kerberos/negotiate/GSSAPI 転送に影響を与え、機密情報への不正アクセスを引き起こす可能性があります。CURLOPT_GSSAPI_DELEGATION オプションが変更されている場合、接続を再利用しないことが最も安全なオプションです。(CVE-2023-27536)

  - 別々のハンドル間で HSTS データを共有する際に、libcurl <8.0.0 に二重解放の脆弱性が存在します。
    この共有は、別のスレッド間でこの共有を行うことを考慮せずに導入されましたが、ドキュメントにはこの事実が示されていませんでした。mutex またはスレッドロックの欠落により、同じ HSTS データを共有する 2 つのスレッドが二重解放またはメモリ解放後使用 (Use After Free) を実行する可能性があります。(CVE-2023-27537)

  - SSH オプションが変更されて再利用が防止されるはずだったにもかかわらず、v8.0.0 以前の libcurl に認証バイパスの脆弱性があるため、以前に確立された SSH 接続が再利用されます。libcurl は、以前に使用された接続のプールを維持し、設定が一致する場合、その後の転送で再利用します。ただし、2 つの SSH 設定が設定チェックから省略されているため、簡単に一致させることができ、不適切な接続が再利用される可能性があります。(CVE-2023-27538)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存しています。

リモートホストにインストールされている curl のバージョンは、8.0.1 より前です。したがって、SSA: 2023-079-01 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - TELNET プロトコルを使用する通信中、curl <8.0 に入力検証の脆弱性があるため、攻撃者がサーバーネゴシエーション中に、悪意を持って細工されたユーザー名と telnet オプションを渡す可能性があります。
    適切な入力スクラブがないため、攻撃者がアプリケーションの意図なしにコンテンツを送信したり、オプションのネゴシエーションを実行したりする可能性があります。アプリケーションがユーザー入力を許可している場合、この脆弱性が悪用され、攻撃者がシステム上で任意のコードを実行する可能性があります。(CVE-2023-27533)

  - curl <8.0.0 にパストラバーサルの脆弱性があります。SFTP の実装により、最初のパス要素でプレフィックスとして使用されると、最初の要素としての意図された使用に加えて、チルダ (~) 文字が誤って置換され、ユーザーのホームディレクトリに対応するパスが示されます。攻撃者はこの欠陥を悪用して、特定のユーザーでサーバーにアクセスしている間に /~2/foo のようなパスを作成することで、フィルタリングをバイパスしたり、任意のコードを実行したりする可能性があります。(CVE-2023-27534)

  - libcurl <8.0.0 の FTP 接続の再利用機能に認証バイパスの脆弱性が存在します。これにより、その後の転送中に誤った認証情報が使用される可能性があります。以前に作成された接続は、現在のセットアップと一致する場合、再利用のために接続プールに保持されます。ただし、CURLOPT_FTP_ACCOUNT、CURLOPT_FTP_ALTERNATIVE_TO_USER、CURLOPT_FTP_SSL_CCC、CURLOPT_USE_SSL などの特定の FTP 設定が設定一致チェックに含まれていないため、これらの一致が簡単になりすぎます。これにより、転送の実行時に libcurl が間違った認証情報を使用することになり、機密情報への不正なアクセスが行われる可能性があります。(CVE-2023-27535)

  - 接続再利用機能に libcurl <8.0.0 の認証バイパスの脆弱性が存在します。これにより、CURLOPT_GSSAPI_DELEGATION オプションの変更をチェックできないため、以前に確立された接続を不適切なユーザーアクセス許可で再利用する可能性があります。この脆弱性は、krb5/kerberos/negotiate/GSSAPI 転送に影響を与え、機密情報への不正アクセスを引き起こす可能性があります。CURLOPT_GSSAPI_DELEGATION オプションが変更されている場合、接続を再利用しないことが最も安全なオプションです。(CVE-2023-27536)

  - 別々のハンドル間で HSTS データを共有する際に、libcurl <8.0.0 に二重解放の脆弱性が存在します。
    この共有は、別のスレッド間でこの共有を行うことを考慮せずに導入されましたが、ドキュメントにはこの事実が示されていませんでした。mutex またはスレッドロックの欠落により、同じ HSTS データを共有する 2 つのスレッドが二重解放またはメモリ解放後使用 (Use After Free) を実行する可能性があります。(CVE-2023-27537)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストにインストールされている IBM Engineering Requirements Management DOORS (旧 IBM Rational DOORS) のバージョンは、9.7.2.8 より前の 9.7.2.x です。したがって、7124058 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - 1.9.1 より前の Apache Shiro、RegexRequestMatcher が誤って構成され、一部のサーブレットコンテナでバイパスされる可能性があります。正規表現で「.」を持つ RegExPatternMatcher を使用するアプリケーションは、認証バイパスに対して脆弱である可能性があります。(CVE-2022-32532)

  - Java OpenWire プロトコルマーシャラーは、リモートコード実行の脆弱性があります。この脆弱性により、Java ベースの OpenWire ブローカーまたはクライアントにネットワークアクセス権があるリモートの攻撃者が、OpenWire プロトコルのシリアル化されたクラスタイプを操作してクライアントまたはブローカーに (それぞれ) クラスパス上の任意のクラスをインスタンス化させることで、任意のシェルコマンドを実行する可能性があります。ユーザーには、ブローカーとクライアントの両方を、この問題を修正したバージョンであるバージョン 5.15.16、5.16.7、5.17.6、または 5.18.3 にアップグレードすることをお勧めします。
    (CVE-2023-46604)

  - 2.13.9 の前の Scala 2.13.x は、JAR ファイルに Java 逆シリアル化チェーンがあります。単独では悪用できません。アプリケーション内の Java オブジェクト逆シリアル化に関連するリスクのみがあります。このような状況では、攻撃者がガジェットチェーンを介して、任意のファイルのコンテンツを消去したり、ネットワーク接続を行ったり、任意のコード (特に、Function0 関数) を実行したりする可能性があります。(CVE-2022-36944)

  - IBM Engineering Requirements Management DOORS 9.7.2.7 は、クロスサイトリクエスト偽造に対して脆弱です。これにより、攻撃者が、Web サイトが信頼するユーザーから送信された悪意のある認証されていないアクションを実行する可能性があります。IBM X-Force ID: 251216. (CVE-2023-28949)

  - CKEditor 4.14 以前の 4.0 の HTML Data Processor のクロスサイトスクリプティング (XSS ) の脆弱性により、リモートの攻撃者が、細工された保護されたコメント (cke_protected 構文を使用 ) を使用して任意の Web スクリプトを挿入する可能性があります。(CVE-2020-9281)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
173417	Fedora 37 : curl (2023-2884ba1528)	Nessus	Fedora Local Security Checks	2023/3/26	2024/4/29	high
176898	Amazon Linux 2023 : curl、curl-minimal、libcurl (ALAS2023-2023-193)	Nessus	Amazon Linux Local Security Checks	2023/6/8	2023/6/8	high
173615	Fedora 38 : curl (2023-0de03a9232)	Nessus	Fedora Local Security Checks	2023/3/28	2024/4/29	high
173330	FreeBSD : cURL -- 複数の脆弱性 (0d7d104c-c6fb-11ed-8a4b-080027f5fec9)	Nessus	FreeBSD Local Security Checks	2023/3/23	2023/6/1	high
191429	Siemens SINEC NMS < V2.0 SP1 の複数の脆弱性	Nessus	Windows	2024/2/29	2024/3/1	critical
194928	Splunk Enterprise 8.2.0 < 8.2.12、9.0.0 < 9.0.6、9.1.0 < 9.1.1 (SVD-2023-0808)	Nessus	CGI abuses	2024/5/2	2024/7/26	critical
176939	Amazon Linux 2: curl (ALAS-2023-2070)	Nessus	Amazon Linux Local Security Checks	2023/6/8	2023/6/9	high
194927	Universal Forwarders < 8.1.14、8.2.0 < 8.2.11、9.0.0 < 9.0.5 (SVD-2023-0614)	Nessus	CGI abuses	2024/5/2	2024/5/30	critical
173044	Slackware Linux 14.0/ 14.1/ 14.2/ 15.0/ 最新版 curl の複数の脆弱性 (SSA:2023-079-01)	Nessus	Slackware Local Security Checks	2023/3/20	2023/6/1	high
191754	IBM Engineering Requirements Management DOORS 9.7.2.x < 9.7.2.8 複数の脆弱性 (7124058)	Nessus	Windows	2024/3/8	2024/3/12	critical
194926	Universal Forwarder 8.2.0 < 8.2.12、9.0.0 < 9.0.6、9.1.0 < 9.1.1 (SVD-2023-0809)	Nessus	CGI abuses	2024/5/2	2024/5/30	critical
194919	Splunk Enterprise < 8.1.14、8.2.0 < 8.2.11、9.0.0 < 9.0.5 (SVD-2023-0613)	Nessus	CGI abuses	2024/5/2	2024/7/26	critical

検出

プラグインの検索

high

high

high

high

critical

critical

high

critical

high

critical

critical

critical