基础信息
项目名称:broadinstitute/gatk
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1716471658537680896/1716471658596401152
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| Apache Commons Beanutils 存在不可信数据的反序列化漏洞 | 反序列化 | MPS-2019-10233 | CVE-2019-10086 | 高危 |
| Apache HttpClient URI解析错误漏洞 | XSS | MPS-2020-17341 | CVE-2020-13956 | 中危 |
| Apache Commons Configuration 存在 RCE 漏洞 | 代码注入 | MPS-2020-3836 | CVE-2020-1953 | 严重 |
| Apache Commons IO 存在路径遍历漏洞 | 路径遍历 | MPS-2021-4531 | CVE-2021-29425 | 中危 |
| org.ojalgo:ojalgo 存在密码学问题漏洞 | 密码学问题 | MPS-2022-11904 | 中危 | |
| Apache Commons Configuration 任意代码执行漏洞 | 表达式语言注入 | MPS-2022-19214 | CVE-2022-33980 | 中危 |
| Python 安全漏洞 | ReDoS | MPS-2022-57238 | CVE-2022-40897 | 中危 |
| SQLite JDBC 远程代码执行漏洞 | 代码注入 | MPS-zprx-hdwf | CVE-2023-32697 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| commons-beanutils:commons-beanutils | 1.9.3 | 1.9.4 | 直接依赖 | 建议修复 |
| org.apache.commons:commons-configuration2 | 2.4 | 2.8 | 直接依赖 | 建议修复 |
| org.xerial:sqlite-jdbc | 3.36.0.3 | 3.41.2.2 | 直接依赖 | 建议修复 |
| commons-io:commons-io | 2.5 | 2.7 | 直接依赖 | 可选修复 |
| setuptools | 39.2.0 | 65.5.1 | 间接依赖 | 可选修复 |
| org.ojalgo:ojalgo | 44.0.0 | 48.3.2 | 直接依赖 | 可选修复 |
| org.apache.httpcomponents:httpclient | 4.5.12 | 4.5.13 | 直接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| Apache-2.0 | 15 | 低 |
| BSD-3-Clause | 5 | 低 |
| 自定义许可证 | 8 | 低 |
| WTFPL | 1 | 低 |
| MIT | 1 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| CallerUpdateSummary | 间接依赖 | pip | |
| org.apache.commons:commons-vfs2 | 2.0 | 直接依赖 | maven |
| pymc3 | 间接依赖 | pip | |
| org.broadinstitute:hdf5-java-bindings | 1.1.0-hdf5_2.11.0 | 直接依赖 | maven |
| SampleReadDepthMetadata | 间接依赖 | pip | |
| HybridInferenceParameters | 间接依赖 | pip | |
| commons-beanutils:commons-beanutils | 1.9.3 | 直接依赖 | maven |
| org.apache.httpcomponents:httpclient | 4.5.12 | 直接依赖 | maven |
| org.jgrapht:jgrapht-io | 1.1.0 | 直接依赖 | maven |
| libgomp.so.1 | 间接依赖 | ||
| header | 间接依赖 | pip | |
| libm.so.6 | 间接依赖 | ||
| org.broadinstitute:gatk-native-bindings | 1.0.0 | 直接依赖 | maven |
| org.reflections:reflections | 0.9.10 | 直接依赖 | maven |
| Any | 间接依赖 | pip | |
| Caller | 间接依赖 | pip | |
| com.opencsv:opencsv | 3.4 | 直接依赖 | maven |
| org.apache.commons:commons-configuration2 | 2.4 | 直接依赖 | maven |
| libc.so.6 | 间接依赖 | ||
| com.google.cloud.bigdataoss:gcs-connector | 1.9.4-hadoop3 | 直接依赖 | maven |
| List | 间接依赖 | pip | |
| Optional | 间接依赖 | pip | |
| setuptools | 39.2.0 | 间接依赖 | pip |
| load_model | 间接依赖 | pip | |
| org.bdgenomics.bdg-formats:bdg-formats | 0.5.0 | 直接依赖 | maven |
| Set | 间接依赖 | pip | |
| org.ojalgo:ojalgo | 44.0.0 | 直接依赖 | maven |
| org.broadinstitute:http-nio | 0.1.0-rc1 | 直接依赖 | maven |
| Deque | 间接依赖 | pip | |
| org.apache.commons:commons-collections4 | 4.1 | 直接依赖 | maven |
| Dict | 间接依赖 | pip | |
| gov.nist.math.jama:gov.nist.math.jama | 1.1.1 | 直接依赖 | maven |
| org.hipparchus:hipparchus-stat | 2.0 | 直接依赖 | maven |
| Tuple | 间接依赖 | pip | |
| org.aeonbits.owner:owner | 1.0.9 | 直接依赖 | maven |
| Callable | 间接依赖 | pip | |
| /usr/lib/libc++.1.dylib | 间接依赖 | ||
| HybridInferenceTask | 间接依赖 | pip | |
| SamplePloidyMetadata | 间接依赖 | pip | |
| org.apache.commons:commons-math3 | 3.5 | 直接依赖 | maven |
| org.xerial:sqlite-jdbc | 3.36.0.3 | 直接依赖 | maven |
| Model | 间接依赖 | pip | |
| libpthread.so.0 | 间接依赖 | ||
| /usr/lib/libSystem.B.dylib | 间接依赖 | ||
| commons-io:commons-io | 2.5 | 直接依赖 | maven |
| config | 间接依赖 | pip | |
| org.apache.commons:commons-lang3 | 3.5 | 直接依赖 | maven |
| org.broadinstitute:gatk-bwamem-jni | 1.0.4 | 直接依赖 | maven |
| org.broadinstitute:gatk-fermilite-jni | 1.2.0 | 直接依赖 | maven |
| org.jgrapht:jgrapht-core | 1.1.0 | 直接依赖 | maven |
| com.thoughtworks.paranamer:paranamer | 2.8 | 直接依赖 | maven |
| Generator | 间接依赖 | pip | |
| libgcc_s.so.1 | 间接依赖 | ||
| it.unimi.dsi:fastutil | 7.0.6 | 直接依赖 | maven |
| Sampler | 间接依赖 | pip | |
| libstdc++.so.6 | 间接依赖 |