coderyi/hello-weex 软件分析报告

基础信息

项目名称:coderyi/hello-weex

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1716779461110267904/1716779461231902720

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
Square OkHttp 安全漏洞 证书验证不恰当 MPS-2017-1023 CVE-2016-2402 中危
plexus-utils OS命令注入 MPS-2018-0091 CVE-2017-1000487 严重
Fastjson 代码注入 MPS-2018-14062 CVE-2017-18349 严重
Apache Log4j SocketServer反序列化漏洞 反序列化 MPS-2019-17271 CVE-2019-17571 严重
Fastjson 使用外部可控制的输入来选择类或代码(不安全的反射) MPS-2019-28847 严重
Fastjson 拒绝服务 MPS-2019-28848 严重
Fastjson 使用外部可控制的输入来选择类或代码(不安全的反射) MPS-2020-39708 严重
Fastjson 反序列化 MPS-2020-40828 高危
Apache Log4j2 SmtpAppender证书验证不当漏洞 证书验证不恰当 MPS-2020-6684 CVE-2020-9488 低危
Apache Log4j JMSAppender反序列化漏洞 反序列化 MPS-2021-38359 CVE-2021-4104 高危
Fastjson 反序列化 MPS-2022-11320 CVE-2022-25845 高危
plexus-utils 路径遍历 MPS-2022-11760 中危
plexus-utils XPath盲注 MPS-2022-11786 低危
Apache Log4j JDBCAppender SQL注入漏洞 SQL注入 MPS-2022-1444 CVE-2022-23305 严重
Apache Log4j Chainsaw反序列化漏洞 反序列化 MPS-2022-1445 CVE-2022-23307 高危
Apache Log4j 反序列化漏洞 反序列化 MPS-2022-1446 CVE-2022-23302 高危
codehaus-plexus XXE注入漏洞 XPath盲注 MPS-2022-66466 CVE-2022-4245 中危
Okio 安全漏洞 数值类型间的不正确转换 MPS-a2tx-d4fb CVE-2023-3635 高危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
com.alibaba:fastjson 1.1.45 1.2.83 直接依赖 强烈建议修复
com.squareup.okhttp:okhttp 2.3.0 2.7.4 直接依赖 建议修复
com.squareup.okio:okio 1.0.1 3.4.0 直接依赖 建议修复
org.codehaus.plexus:plexus-utils 2.0.5 3.0.24 直接依赖 建议修复
log4j:log4j 1.2.12 间接依赖 建议修复

许可证风险

许可证类型 相关组件 许可证风险
Apache-2.0 30
自定义许可证 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
org.codehaus.plexus:plexus-component-annotations 1.5.5 间接依赖 maven
stax:stax-api 1.0.1 间接依赖 maven
libm.so 间接依赖
com.android.support:appcompat-v7 23.1.1 直接依赖 maven
org.apache.maven:maven-project-builder 3.0-alpha-2 间接依赖 maven
com.android.support:support-annotations 23.1.1 直接依赖 maven
org.apache.maven:maven-plugin-api 3.0.1 直接依赖 maven
org.apache.xbean:xbean-reflect 3.4 间接依赖 maven
org.apache.maven:maven-model 3.0.1 间接依赖 maven
com.jakewharton.scalpel:scalpel 1.1.2 直接依赖 maven
com.android.support:appcompat-v7 23.0.1 直接依赖 maven
commons-cli:commons-cli 1.2 直接依赖 maven
com.squareup.okio:okio 1.0.1 直接依赖 maven
com.alibaba:fastjson 1.1.46.android 直接依赖 maven
org.codehaus.plexus:plexus-interpolation 1.1 间接依赖 maven
org.codehaus.woodstox:wstx-asl 3.2.6 间接依赖 maven
libstdc++.so 间接依赖
log4j:log4j 1.2.12 间接依赖 maven
org.apache.maven.wagon:wagon-provider-api 1.0-beta-4 间接依赖 maven
com.squareup.okhttp:okhttp 2.3.0 直接依赖 maven
org.apache.maven:maven-compat 3.0-alpha-2 间接依赖 maven
commons-logging:commons-logging-api 1.1 间接依赖 maven
com.android.support:design 23.1.1 直接依赖 maven
liblog.so 间接依赖
org.sonatype.sisu:sisu-guice 2.9.1 间接依赖 maven
com.mycila.xmltool:xmltool 3.3 直接依赖 maven
org.apache.maven:maven-artifact 3.0.1 间接依赖 maven
org.sonatype.sisu:sisu-inject-plexus 1.4.3.1 间接依赖 maven
com.taobao.android:dexposed 0.1.8 直接依赖 maven
com.google.code.google-collections:google-collect snapshot-20080530 间接依赖 maven
com.google.code.findbugs:jsr305 2.0.1 直接依赖 maven
com.squareup.okhttp:okhttp-ws 2.3.0 直接依赖 maven
com.facebook.fresco:fresco 0.10.0 直接依赖 maven
org.codehaus.plexus:plexus-utils 2.0.5 直接依赖 maven
org.apache.maven:maven-project 3.0-alpha-2 直接依赖 maven
com.squareup.picasso:picasso 2.5.2 直接依赖 maven
libc.so 间接依赖
com.alibaba:fastjson 1.1.45 直接依赖 maven
org.codehaus.plexus:plexus-classworlds 2.2.3 间接依赖 maven
libdl.so 间接依赖
org.codehaus.plexus:plexus-container-default 1.0-beta-3.0.5 间接依赖 maven
org.sonatype.sisu:sisu-inject-bean 1.4.3.1 间接依赖 maven
com.android.support:support-v4 23.1.1 直接依赖 maven
org.sonatype.spice:model-builder 1.3 间接依赖 maven
(0)
上一篇 2023年10月24日
下一篇 2023年10月24日

相关推荐

  • JosephDuffy/homebridge-pc-volume 软件分析报告

    基础信息 项目名称:JosephDuffy/homebridge-pc-volume 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1719261374244847616/1719261377482850304 此…

    软件分析 2023年10月31日
    0
  • wuhan2020/wuhan2020 软件分析报告

    基础信息 项目名称:wuhan2020/wuhan2020 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1724643292467388416/1724643292509331456 此报告由Murphysec提…

    软件分析 2023年11月15日
    0
  • guilhermearaujo/GUIRoundProgressButton 软件分析报告

    基础信息 项目名称:guilhermearaujo/GUIRoundProgressButton 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721251962942390272/172825231338867…

    软件分析 2023年11月25日
    0
  • adamschwartz/log 软件分析报告

    基础信息 项目名称:adamschwartz/log 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1715517846175137792/1715517846519070720 此报告由Murphysec提供 漏…

    软件分析 2023年10月23日
    0
  • cnpm/cnpmjs.org 软件分析报告

    基础信息 项目名称:cnpm/cnpmjs.org 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721096214203596800/1722395222083870720 此报告由Murphysec提供 漏洞…

    软件分析 2023年11月9日
    0