远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2020: 4847 公告中提及的多个漏洞的影响。

  - jquery：通过跨域 ajax 请求的跨站脚本 (CVE-2015-9251)

  - bootstrap：data-target 属性的 XSS (CVE-2016-10735)

  - bootstrap：重叠数据父级属性中的跨站脚本 (XSS) (CVE-2018-14040)

  - bootstrap：工具提示的 data-container 属性中的跨站脚本 (XSS) (CVE-2018-14042)

  - pki-core：CA 代理页面“路径长度”限制字段中存在反射型 XSS (CVE-2019-10146)

  - pki-core/pki-kra：在授权恢复选项卡中，KRA 的 DRM 代理页面的 recoveryID 搜索字段中存在反射型 XSS (CVE-2019-10179)

  - pki-core：CA 的 getcookies?url= 端点中存在反射型 XSS (CVE-2019-10221)

  - jquery：对象原型中存在原型污染，导致拒绝服务、远程代码执行或属性注入 (CVE-2019-11358)

  - bootstrap：工具提示或弹出框 data-template 属性的 XSS (CVE-2019-8331)

  - jquery：存在跨站脚本，这是 injQuery.htmlPrefilter 方法不当所致 (CVE-2020-11022)

  - jquery：通过传递给 DOM 操纵方法的 HTML 中的 <option> 标签执行不受信任的代码 (CVE-2020-11023)

  - pki：Dogtag 的 python 客户端未验证证书 (CVE-2020-15720)

  - pki-core：KRA 容易通过 getPk12 页面受到反射型 XSS 攻击 (CVE-2020-1721)

  - tomcat：对传输编码标头的错误处理可能造成 HTTP 请求走私 (CVE-2020-1935)

  - tomcat：Apache Tomcat AJP 文件读取/包含漏洞 (CVE-2020-1938)

  - pki-core：证书搜索结果中存在 XSS (CVE-2020-25715)

  - tomcat：请求混合 (CVE-2022-25762)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

RHEL 8：pki-core：10.6 和 pki-deps：10.6 (RHSA-2020: 4847)

critical Nessus 插件 ID 142409

版本 1.13