リモートのWebサーバーは、デフォルトのApacheインデックスページを使用しています。このページには、サーバールートやインストールパスなどの秘密データが含まれている可能性があります。

これにより、サーバーのインストールに関する有益な情報をリモートの認証されていない攻撃者に漏洩する可能性があります。

リモートホストで検出された Apache Tomcat のインストールは、現在はサポートされていません。サポートされていないため、この製品の新しいセキュリティパッチはベンダーからリリースされません。その結果、セキュリティの脆弱性が含まれている可能性があります。

http DEBUG メソッドを介して、リモート ASP スクリプトにデバッグステートメントを送信できます。リモートの認証されていない攻撃者がこれを利用して、リモートスクリプトのランタイムを変更する可能性があります。

リモート Web サーバーのルートディレクトリで実行中の ASP.NET ウェブアプリケーションで、アプリケーショントレースが有効になっています。これにより、認証されていないリモート攻撃者が、サーバーに対して行われた最新 50 件のウェブリクエストを閲覧できることになります。このようなリクエストには、セッション ID の値やリクエストされたファイルの物理パスなどの機密情報が含まれています。

スキャナーが、リモート Web サーバーで Nginx デフォルトインデックスページを検出しました。

これにより、サーバーのインストールに関する有益な情報をリモートの認証されていない攻撃者に漏洩する可能性があります。

リモートホストで検出された Apache のインストールは、現在はサポートされていません。サポートされていないため、この製品の新しいセキュリティパッチはベンダーからリリースされません。その結果、セキュリティの脆弱性が含まれている可能性があります。

リモートホストで検出された PHP のインストールは、現在はサポートされていません。サポートされていないため、この製品の新しいセキュリティパッチはベンダーからリリースされません。その結果、セキュリティの脆弱性が含まれている可能性があります。

リモートホストで検出された Microsoft Internet Information Services (IIS) のインストールはサポートが終了しました。サポートされていないため、この製品の新しいセキュリティパッチはベンダーからリリースされません。その結果、セキュリティの脆弱性が含まれている可能性があります。

リモートホストで検出された Joomla! のインストールは、現在はサポートされていません。サポートされていないため、この製品の新しいセキュリティパッチはベンダーからリリースされません。その結果、セキュリティの脆弱性が含まれている可能性があります。

リモートホストで検出された Drupal のインストールは、現在はサポートされていません。サポートされていないため、この製品の新しいセキュリティパッチはベンダーからリリースされません。その結果、セキュリティの脆弱性が含まれている可能性があります。

リモートホストで検出された WordPress のインストールは、現在はサポートされていません。サポートされていないため、この製品の新しいセキュリティパッチはベンダーからリリースされません。その結果、セキュリティの脆弱性が含まれている可能性があります。

セッションの値の保存時に User-Agent ヘッダーフィールドが不適切にサニタイズされているため、リモート Web サーバーで実行されている Joomla! アプリケーションが、リモートコードの実行の脆弱性による影響を受けます。認証されていないリモートの攻撃者がこれを悪用して、シリアル化された PHP オブジェクトを通じて、任意の PHP コードを実行する可能性があります。

リモート Web サーバーで実行されている Drupal のバージョンが、unserialize() 関数に対するユーザー指定の入力が不適切に検証されているため、Coder モジュールにあるリモートコードの実行の脆弱性の影響を受けます。具体的には、coder_upgrade.run.php ファイルにこの脆弱性はあります。認証されていないリモートの攻撃者が、これを悪用して、特別に細工されたリクエストを通じて、任意の PHP コードを実行する可能性があります。

リモート Web サーバーが Drupal のバージョンを実行しているため、Drupal データベース抽象化 API の欠陥のために、SQL インジェクションの脆弱性の影響を受け、リモートの攻撃者が特別に細工されたリクエストを使用して、任意の SQL を実行する可能性があります。これは、権限昇格、任意の PHP の実行、またはリモートコードの実行を引き起こす可能性があります。

特別に細工されたリクエストを処理する際に、Drupal エンティティへのデフォルトのページコールバックが変更される方法での欠陥のために、リモートの Web サーバーで実行されている Drupal のバージョンが、バンドルされている RESTful Web サービス（RESTWS）モジュールのリモートコード実行の脆弱性の影響を受けます。認証されていないリモートの攻撃者がこれを悪用し、細工されたリクエストを通じて、任意の PHP コードを実行する可能性があります。

リモートの Web サーバーで実行されている Joomla! インストールは、ユーザー指定の入力が不適切にサニタイズされているため、fields.php スクリプトで SQL インジェクションの脆弱性の影響を受けます。認証されていないリモートの攻撃者がこれを悪用し、バックエンドデータベースでSQLクエリを挿入または操作することで、任意のデータを漏洩または変更する可能性があります。

リモートの Web サーバーで実行されている WordPress アプリケーションは 4.7.2 より前の 4.7.x です。したがって、ブログ投稿を編集または削除するときにユーザー指定の入力が「id」パラメーターに適切にサニタイズされないため、REST API の権限昇格の脆弱性による影響を受けます。認証されていないリモートの攻撃者がこの問題を悪用し、任意のPHPコードの実行、ブログ投稿へのコンテンツの挿入、ブログ投稿属性の変更、またはブログ投稿の削除を行う可能性があります。

WordPress REST API は、バージョン 4.7.0 以降、デフォルトで有効になっています。この脆弱性は WordPress バージョン 4.7.2 で暗黙のうちに修正されました。

WordPress が影響を受ける脆弱性が他にもあることが報告されていますが、スキャナーはそれらについてはテストしていません。

Drupal 7.xおよび8.xに、リモートコード実行の脆弱性があります。これにより、攻撃者がDrupalサイトで複数の攻撃ベクトルを悪用する可能性があります。これにより、サイトが完全に危険にさらされる可能性があります。

注: この脆弱性は、アクティブチェックを使用して検出されており、すぐに修正する必要があります。

一般向けの WordPress XML-RPC インターフェイスが検出されました。

攻撃者が、XML-RPC を介して Web サーバーに対して以下の攻撃を仕掛ける可能性があります。
 - WordPress バックエンド管理インターフェイスへのログイン
 - ユーザー認証情報のブルートフォース
 - pingbacks の使用 (例 : スキャンまたはフィンガープリント)

ID	名前	深刻度
112351	Apache のデフォルトインデックスページ	medium
98232	Apache Tomcat のサポートされていないバージョン	critical
112353	ASP.NET DEBUG メソッドが有効	medium
112352	Microsoft ASP.NET アプリケーショントレース trace.axd 情報漏洩	medium
112350	Nginx のデフォルトインデックスページ	medium
98231	Apache のサポートされていないバージョン	critical
98230	PHP のサポートされていないバージョン	critical
113029	Microsoft IIS のサポートされていないバージョン	critical
98229	Joomla! サポートされていないバージョン	critical
98228	Drupal のサポートされていないバージョン	critical
98227	WordPress のサポートされていないバージョン	critical
98222	Joomla! User-Agent のオブジェクトインジェクションの RCE	critical
98221	Drupal Coder モジュールにおける逆シリアル化の RCE	critical
98220	Drupal データベース抽象化 API SQLi	critical
98219	Drupal RESTWS モジュールのページコールバックの RCE	critical
98218	Joomla! 3.7.0 < 3.7.1 fields.php getListQuery() メソッド SQLi	critical
98217	WordPress 4.7.x < 4.7.2 REST API「id」のパラメーター権限昇格	high
98216	Drupal < 7.58 / 8.x < 8.3.9 / 8.4.x < 8.4.6 / 8.5.x < 8.5.1 のリモートコード実行	critical
98215	WordPress XML-RPC インターフェイスが検出されました	medium

検出

Web App Scanning の Component Vulnerability ファミリー

medium

critical

medium

medium

medium

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

high

critical

medium