自己報告されたバージョン番号によると、リモートホストで実行されている Atlassian Jira アプリケーションは、10.3.13 より前の 10.3.x、または 11.2.0 より前の 11.x です。したがって、XML 外部エンティティインジェクション (XXE) の脆弱性の影響を受けます。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートホストで実行されている Atlassian Confluence Server のバージョンは、CONFSERVER-101878 アドバイザリに記載されている脆弱性の影響を受けます。

  - すべてのプラットフォーム上の Apache Tika の 1.13 から 3.2.1 までの Apache Tika (tika-parser-pdf-module) における重大な XXE により、攻撃者は、PDF 内の細工された XFA ファイルを通じて、XML 外部エンティティインジェクションを実行できます。攻撃者が、機密データを読み取ったり、内部リソースやサードパーティサーバーに対して悪意のあるリクエストを発生させたりする可能性があります。tika-parser-pdf-module は、少なくとも tika-parsers-standard-modules、tika-parsers-standard-package、tika-app、tika-grpc、および tika-server-standard を含むいくつかの Tika パッケージの依存関係として使用されることに注意してください。ユーザーには、この問題を修正したバージョン 3.2.2 へのアップグレードをお勧めします。(CVE-2025-54988)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Debian 11 ホストには、dla-4350 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

    - ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-4350-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Paride Legovini 2025 年 10 月 26 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    パッケージ: tika バージョン: 1.22-2+deb11u1 CVE ID: CVE-2025-54988

    Apache Tika コンテンツ分析ツールキットを配布する tika パッケージで、脆弱性が修正されました。この脆弱性は tika-parser-pdf-module コンポーネントに影響し、攻撃者がPDF内の細工された XFA ファイルを介して XML 外部エンティティインジェクションを実行する可能性があります。攻撃者が、機密データを読み取ったり、内部リソースやサードパーティサーバーに対して悪意のあるリクエストを発生させたりする可能性があります。

    Debian 11 Bullseye において、この問題はバージョン 1.22-2+deb11u1 で修正されました。

    お使いの tika のパッケージをアップグレードすることを推奨します。

    tika の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください。
    https://security-tracker.debian.org/tracker/tika

    Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

前述の説明ブロックは、Tenable が Debian セキュリティアドバイザリから直接抽出したものです。

Nessus はこの問題をテストしていないことに留意してください。ただし、代わりにアプリケーションから自己報告されたバージョン番号にのみ依存しています。

リモートホストで実行されている Atlassian Jira Service Management Data Center and Server (Jira Service Desk) のバージョンは、JSDSERVER-16478 のアドバイザリに記載されている脆弱性の影響を受けます。

  - すべてのプラットフォーム上の Apache Tika の 1.13 から 3.2.1 までの Apache Tika (tika-parser-pdf-module) における重大な XXE により、攻撃者は、PDF 内の細工された XFA ファイルを通じて、XML 外部エンティティインジェクションを実行できます。攻撃者が、機密データを読み取ったり、内部リソースやサードパーティサーバーに対して悪意のあるリクエストを発生させたりする可能性があります。tika-parser-pdf-module は、少なくとも tika-parsers-standard-modules、tika-parsers-standard-package、tika-app、tika-grpc、および tika-server-standard を含むいくつかの Tika パッケージの依存関係として使用されることに注意してください。ユーザーには、この問題を修正したバージョン 3.2.2 へのアップグレードをお勧めします。(CVE-2025-54988)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - すべてのプラットフォームで、Apache Tika 1.13 から まで、 3.2.1 の Apache Tikatika-parser-pdf-moduleの重要な XXE により、攻撃者は、PDF 内の細工された XFA ファイルを通じて、XML 外部エンティティインジェクションを実行できます。攻撃者が、機密データを読み取ったり、内部リソースやサードパーティサーバーに対して悪意のあるリクエストを発生させたりする可能性があります。注意tika-parser-pdf-module は、少なくとも以下を含む複数の Tika パッケージの依存関係として使用されています。tika-parsers-standard-modules、tika-parsers-standard-package、tika-app、tika-grpc、tika-server - Standard。ユーザーには、この問題を修正したバージョン 3.2.2 へのアップグレードをお勧めします。(CVE-2025-54988)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートホストにインストールされている Oracle Business Process Management Suite のバージョンは、2026 年 1 月の CPU アドバイザリに記載されている脆弱性の影響を受けます。

  - Oracle Fusion Middleware の Oracle Business Process Management Suite 製品の脆弱性 (コンポーネント: コンポーザー (Apache Commons Lang))。サポートされているバージョンで影響を受けるのは 14.1.2.0.0 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Business Process Management Suite を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Business Process Management Suite の部分的なサービス拒否 (部分的な DOS) が権限なしで引き起こされる可能性があります。(CVE-2025-48924)

  - Oracle Fusion Middleware の Oracle Business Process Management Suite 製品の脆弱性 (コンポーネント: コンポーザー (Apache Commons FileUpload))。サポートされているバージョンで影響を受けるのは、12.2.1.4.0 および 14.1.2.0.0です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Business Process Management Suite を侵害する可能性があります。この脆弱性を利用した攻撃に成功すると、権限がなくても、Oracle Business Process Management Suite をハングアップさせたり、頻繁に繰り返しクラッシュ (完全な DOS) させたりすることができるようになります。(CVE-2025-48976)

  - Oracle Fusion Middleware の Oracle Business Process Management Suite 製品の脆弱性 (コンポーネント: Oracle Business Rules (Apache Commons Compress))。サポートされているバージョンで影響を受けるのは 14.1.2.0.0 です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Business Process Management Suite を侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Oracle Business Process Management Suite の乗っ取りが発生する可能性があります。(CVE-2025-54988)

  - Oracle Fusion Middleware の Oracle Business Process Management Suite 製品の脆弱性 (コンポーネント: Runtime Engine (Apache Tika))。サポートされているバージョンで影響を受けるのは、12.2.1.4.0 および 14.1.2.0.0です。容易に悪用可能な脆弱性があり、認証されていない攻撃者が HTTP を介してネットワークにアクセスし、Oracle Business Process Management Suite を侵害する可能性があります。脆弱性があるのは Oracle Business Process Management Suite ですが、攻撃により別の製品にも重大な影響を与える可能性があります (範囲変更)。この脆弱性に対する攻撃が成功すると、Oracle Business Process Management Suite の乗っ取りが発生する可能性があります。(CVE-2025-66516)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
115081	Atlassian Jira 11.x < 11.2.0 XML の外部エンティティインジェクション	Web App Scanning	Component Vulnerability	2025/12/17	2025/12/17	critical
115080	Atlassian Jira 10.3.x < 10.3.13 XML の外部エンティティインジェクション	Web App Scanning	Component Vulnerability	2025/12/17	2025/12/17	critical
298175	Atlassian Confluence 7.7.x < 8.5.31 / 8.6.x < 9.2.13 / 9.3.1 < 10.2.2 (CONFSERVER-101878)	Nessus	CGI abuses	2026/2/6	2026/2/6	critical
271505	Debian dla-4350 : libtika-java - セキュリティ更新	Nessus	Debian Local Security Checks	2025/10/26	2025/10/26	critical
282636	Atlassian Jira Service Management Data Center および Server 10.3.0 < 10.3.13 / 11.0.x < 11.2.0 (JSDSERVER-16478)	Nessus	Misc.	2026/1/13	2026/1/13	critical
260140	Linux Distros のパッチ未適用の脆弱性: CVE-2025-54988	Nessus	Misc.	2025/9/1	2026/4/29	critical
294978	Oracle Business Process Management Suite (14.1.2.0.0) (2026 年 1 月 CPU)	Nessus	Misc.	2026/1/22	2026/4/30	critical

検出

プラグインの検索

critical

critical

critical

critical

critical

critical

critical