cxplan/CXTouch 软件分析报告

2023年10月25日上午9:29 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：cxplan/CXTouch

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1716990246172360704/1716990246256246784

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
XStream XXE漏洞	未授权敏感信息泄露	MPS-2016-2421	CVE-2016-3674	高危
Google Guava 不可信数据的反序列化漏洞	不加限制或调节的资源分配	MPS-2018-5515	CVE-2018-10237	中危
FasterXML jackson-databind反序列化漏洞(slf4j-ext gadget绕过)	反序列化	MPS-2019-0018	CVE-2018-14718	严重
FasterXML jackson-databind反序列化漏洞(blaze-ds-opt gadget绕过)	反序列化	MPS-2019-0019	CVE-2018-14719	严重
FasterXML jackson-databind XXE漏洞(DRSHelper gadget绕过)	XXE	MPS-2019-0020	CVE-2018-14720	严重
FasterXML Jackson-databind服务器端请求伪造漏洞(axis2-jaxws gadget绕过)	SSRF	MPS-2019-0021	CVE-2018-14721	严重
FasterXML Jackson-databind代码问题漏洞(axis2-transport-jms gadget绕过)	反序列化	MPS-2019-0023	CVE-2018-19360	严重
FasterXML Jackson-databind代码问题漏洞(openjpa gadget绕过)	反序列化	MPS-2019-0024	CVE-2018-19361	严重
FasterXML Jackson-databind代码问题漏洞(jboss-common-core gadget绕过)	反序列化	MPS-2019-0025	CVE-2018-19362	严重
FasterXML jackson-databind 反序列化漏洞(HikariCP gadget绕过)	反序列化	MPS-2019-11529	CVE-2019-14540	严重
FasterXML jackson-databind 反序列化漏洞(HikariCP gadget绕过)	反序列化	MPS-2019-11533	CVE-2019-16335	严重
FasterXML jackson-databind 反序列化漏洞(commons-dbcp gadget绕过)	反序列化	MPS-2019-12479	CVE-2019-16942	严重
FasterXML jackson-databind 反序列化漏洞(p6spy gadget绕过)	反序列化	MPS-2019-12480	CVE-2019-16943	严重
Apache MINA	敏感数据的明文传输	MPS-2019-12494	CVE-2019-0231	高危
FasterXML jackson-databind 反序列化漏洞(ehcache gadget绕过)	反序列化	MPS-2019-12676	CVE-2019-17267	严重
FasterXML jackson-databind 反序列化漏洞(apache-log4j-extras gadget绕过)	反序列化	MPS-2019-13103	CVE-2019-17531	严重
Apache Log4j SocketServer反序列化漏洞	反序列化	MPS-2019-17271	CVE-2019-17571	严重
FasterXML Jackson-databind反序列化漏洞（Jodd-db gadget绕过）	反序列化	MPS-2019-2619	CVE-2018-12022	高危
FasterXML Jackson-databind反序列化漏洞(Oracle JDBC driver gadget绕过)	反序列化	MPS-2019-2620	CVE-2018-12023	高危
FasterXML jackson-databind 反序列化漏洞(mysql gadget绕过)	反序列化	MPS-2019-5442	CVE-2019-12086	高危
FasterXML jackson-databind 反序列化漏洞(jdom gadget绕过)	反序列化	MPS-2019-6867	CVE-2019-12814	中危
FasterXML jackson-databind 反序列化漏洞(logback-classic gadget绕过)	反序列化	MPS-2019-7047	CVE-2019-12384	中危
FasterXML jackson-databind 反序列化漏洞(iBatis gadget绕过)	反序列化	MPS-2019-7711	CVE-2018-11307	严重
FasterXML jackson-databind 反序列化漏洞(ehcache gadget绕过)	动态确定对象属性修改的控制不恰当	MPS-2019-8717	CVE-2019-14379	严重
FasterXML jackson-databind 信息泄露漏洞(logback gadget绕过)	反序列化	MPS-2019-8770	CVE-2019-14439	高危
FasterXML jackson-databind反序列化漏洞(net.sf.ehcache gadget绕过)	反序列化	MPS-2020-0063	CVE-2019-20330	严重
FasterXML jackson-databind反序列化漏洞(Anteros-DBCP gadget绕过)	反序列化	MPS-2020-11987	CVE-2020-24616	高危
FasterXML jackson-databind 反序列化漏洞(pastdev gadget绕过)	反序列化	MPS-2020-13151	CVE-2020-24750	高危
XStream 操作系统命令注入漏洞	OS命令注入	MPS-2020-17361	CVE-2020-26217	高危
Google Guava 访问控制错误漏洞	关键资源权限分配不当	MPS-2020-17429	CVE-2020-8908	低危
XStream	SSRF	MPS-2020-17591	CVE-2020-26258	高危
Xstream	OS命令注入	MPS-2020-17661	CVE-2020-26259	中危
FasterXML jackson-databind 反序列化漏洞(commons-dbcp2 gadget绕过)	反序列化	MPS-2020-17696	CVE-2020-35490	高危
FasterXML jackson-databind 反序列化漏洞(commons-dbcp2 gadget绕过)	反序列化	MPS-2020-17697	CVE-2020-35491	高危
FasterXML jackson-databind 反序列化漏洞(glassfish gadget绕过)	反序列化	MPS-2020-18089	CVE-2020-35728	高危
FasterXML jackson-databind 反序列化漏洞(xbean-reflect gadget绕过)	反序列化	MPS-2020-2030	CVE-2020-8840	严重
FasterXML jackson-databind 反序列化漏洞(ignite-jta gadget绕过)	反序列化	MPS-2020-24779	CVE-2020-10650	高危
FasterXML jackson-databind 代码问题漏洞	反序列化	MPS-2020-3040	CVE-2020-9546	严重
FasterXML jackson-databind 反序列化漏洞(JtaTransactionConfig gadget绕过)	反序列化	MPS-2020-3041	CVE-2020-9547	严重
FasterXML jackson-databind反序列化漏洞(anteros-core gadget绕过)	反序列化	MPS-2020-3042	CVE-2020-9548	严重
FasterXML jackson-databind 反序列化漏洞(commons-configuration gadget绕过)	反序列化	MPS-2020-3075	CVE-2019-14892	严重
FasterXML Jackson-databind反序列化漏洞(xalan2 gadget绕过)	反序列化	MPS-2020-3094	CVE-2019-14893	严重
FasterXML jackson-databind反序列化漏洞(aries.transaction.jms gadget绕过)	反序列化	MPS-2020-4131	CVE-2020-10672	高危
FasterXML jackson-databind反序列化漏洞(caucho-quercus gadget绕过)	反序列化	MPS-2020-4132	CVE-2020-10673	高危
FasterXML jackson-databind反序列化漏洞(bus-proxy gadget绕过)	反序列化	MPS-2020-4658	CVE-2020-10968	高危
FasterXML jackson-databind反序列化漏洞(javax.swing gadget绕过)	反序列化	MPS-2020-4659	CVE-2020-10969	高危
FasterXML jackson-databind反序列化漏洞(activemq gadget绕过)	反序列化	MPS-2020-4754	CVE-2020-11111	高危
FasterXML jackson-databind反序列化漏洞(commons-proxy gadget绕过)	反序列化	MPS-2020-4755	CVE-2020-11112	高危
FasterXML jackson-databind反序列化漏洞(openjpa gadget绕过)	反序列化	MPS-2020-4756	CVE-2020-11113	高危
FasterXML jackson-databind 反序列化漏洞(spring-aop gadget绕过)	反序列化	MPS-2020-5138	CVE-2020-11619	高危
FasterXML jackson-databind 反序列化漏洞(commons-jelly gadget绕过)	反序列化	MPS-2020-5139	CVE-2020-11620	高危
Apache Log4j2 SmtpAppender证书验证不当漏洞	证书验证不恰当	MPS-2020-6684	CVE-2020-9488	低危
FasterXML jackson-databind反序列化漏洞(oracle-aqjms gadget绕过)	反序列化	MPS-2020-8801	CVE-2020-14061	高危
FasterXML jackson-databind反序列化漏洞(xalan2 gadget绕过)	反序列化	MPS-2020-8802	CVE-2020-14062	高危
FasterXML jackson-databind反序列化漏洞(apache drill gadget绕过)	反序列化	MPS-2020-8803	CVE-2020-14060	高危
FasterXML jackson-databind代码问题漏洞(jsecurity gadget绕过)	反序列化	MPS-2020-8911	CVE-2020-14195	高危
FasterXML jackson-databind 反序列化漏洞(DBCP gadget绕过)	反序列化	MPS-2021-0202	CVE-2020-36179	高危
FasterXML jackson-databind 反序列化漏洞(DBCP gadget绕过)	反序列化	MPS-2021-0203	CVE-2020-36181	高危
FasterXML jackson-databind 反序列化漏洞(DBCP gadget绕过)	反序列化	MPS-2021-0204	CVE-2020-36180	高危
FasterXML jackson-databind 反序列化漏洞(tomcat-dbcp gadget绕过)	反序列化	MPS-2021-0205	CVE-2020-36182	高危
FasterXML jackson-databind 反序列化漏洞(docx4j gadget绕过)	反序列化	MPS-2021-0206	CVE-2020-36183	高危
FasterXML jackson-databind 反序列化漏洞(tomcat-dbcp gadget绕过)	反序列化	MPS-2021-0207	CVE-2020-36184	高危
FasterXML jackson-databind 反序列化漏洞(tomcat-dbcp gadget绕过)	反序列化	MPS-2021-0208	CVE-2020-36185	高危
FasterXML jackson-databind 反序列化漏洞(naming-factory-dbcp gadget绕过)	反序列化	MPS-2021-0209	CVE-2020-36186	高危
FasterXML jackson-databind 反序列化漏洞(naming-factory-dbcp gadget绕过)	反序列化	MPS-2021-0210	CVE-2020-36187	高危
FasterXML jackson-databind 反序列化漏洞(newrelic-agent gadget绕过)	反序列化	MPS-2021-0211	CVE-2020-36188	高危
FasterXML jackson-databind 反序列化漏洞(newrelic-agent gadget绕过)	反序列化	MPS-2021-0212	CVE-2020-36189	高危
FasterXML jackson-databind 反序列化漏洞(javax.swing gadget绕过)	反序列化	MPS-2021-1625	CVE-2021-20190	高危
XStream	SSRF	MPS-2021-17812	CVE-2021-39152	高危
XStream	SSRF	MPS-2021-17813	CVE-2021-39150	高危
XStream 存在拒绝服务漏洞	不可达退出条件的循环（无限循环）	MPS-2021-17814	CVE-2021-39140	中危
XStream	反序列化	MPS-2021-17815	CVE-2021-39154	高危
XStream	反序列化	MPS-2021-17816	CVE-2021-39153	高危
XStream	反序列化	MPS-2021-17817	CVE-2021-39151	高危
XStream	反序列化	MPS-2021-17818	CVE-2021-39149	高危
XStream	反序列化	MPS-2021-17819	CVE-2021-39148	高危
XStream	反序列化	MPS-2021-17820	CVE-2021-39147	高危
XStream	反序列化	MPS-2021-17821	CVE-2021-39146	高危
XStream	反序列化	MPS-2021-17822	CVE-2021-39145	高危
XStream	反序列化	MPS-2021-17823	CVE-2021-39144	高危
XStream	反序列化	MPS-2021-17824	CVE-2021-39141	高危
XStream	反序列化	MPS-2021-17825	CVE-2021-39139	高危
XStream	SSRF	MPS-2021-3119	CVE-2021-21342	高危
XStream 存在反序列化漏洞	反序列化	MPS-2021-3120	CVE-2021-21348	中危
XStream 存在反序列化漏洞	反序列化	MPS-2021-3121	CVE-2021-21346	高危
XStream 存在反序列化漏洞	反序列化	MPS-2021-3122	CVE-2021-21345	高危
XStream	反序列化	MPS-2021-3123	CVE-2021-21343	中危
XStream 存在拒绝服务漏洞	反序列化	MPS-2021-3124	CVE-2021-21341	中危
XStream 存在反序列化漏洞	反序列化	MPS-2021-3125	CVE-2021-21344	高危
XStream 存在反序列化漏洞	SSRF	MPS-2021-3127	CVE-2021-21349	中危
XStream	反序列化	MPS-2021-3128	CVE-2021-21350	高危
XStream 存在反序列化漏洞	反序列化	MPS-2021-3129	CVE-2021-21351	严重
XStream 存在反序列化漏洞	反序列化	MPS-2021-3396	CVE-2021-21347	高危
XStream	拒绝服务	MPS-2021-36984	CVE-2021-43859	高危
Apache Log4j JMSAppender反序列化漏洞	反序列化	MPS-2021-38359	CVE-2021-4104	高危
XStream 远程代码执行漏洞	反序列化	MPS-2021-7164	CVE-2021-29505	高危
com.fasterxml.jackson.core:jackson-databind 存在反序列化漏洞	反序列化	MPS-2022-12433		高危
Apache Log4j JDBCAppender SQL注入漏洞	SQL注入	MPS-2022-1444	CVE-2022-23305	严重
Apache Log4j Chainsaw反序列化漏洞	反序列化	MPS-2022-1445	CVE-2022-23307	高危
Apache Log4j 反序列化漏洞	反序列化	MPS-2022-1446	CVE-2022-23302	高危
xstream project跨界内存写漏洞	越界写入	MPS-2022-57066	CVE-2022-40151	高危
XStream	栈缓冲区溢出	MPS-2022-58603	CVE-2022-41966	中危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞	拒绝服务	MPS-2022-58653	CVE-2022-42003	中危
FasterXML jackson-databind 小于2.13.4拒绝服务漏洞	拒绝服务	MPS-2022-58654	CVE-2022-42004	中危
FasterXML jackson-databind 拒绝服务漏洞	越界写入	MPS-2022-6242	CVE-2020-36518	高危
Guava	创建拥有不安全权限的临时文件	MPS-mfku-xzh3	CVE-2023-2976	中危
【存在争议】FasterXML jackson-databind 代码问题漏洞	不加限制或调节的资源分配	MPS-z1bx-p8y2	CVE-2023-35116	中危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
com.thoughtworks.xstream:xstream	1.4.7	1.4.20	间接依赖	强烈建议修复
com.google.guava:guava	20.0	32.0.0-jre	间接依赖	建议修复
log4j:log4j	1.2.17		间接依赖	建议修复
org.apache.mina:mina-core	2.0.19	2.0.21	直接依赖	建议修复
com.fasterxml.jackson.core:jackson-databind	2.8.11.1		直接依赖	建议修复

许可证风险

许可证类型	相关组件	许可证风险
MIT	2	低
Apache-2.0	12	低
自定义许可证	3	低
GPL-3.0-or-later	2	低
LGPL-2.1	1	中
MPL-1.1	1	低
WTFPL	1	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
ADVAPI32.dll		间接依赖
org.slf4j:slf4j-log4j12	1.7.2	直接依赖	maven
libstdc++.so		间接依赖
minicap.so		间接依赖
org.slf4j:slf4j-api	1.7.2	直接依赖	maven
libm.so.6		间接依赖
com.android.tools:common	25.3.0	间接依赖	maven
com.jidesoft:jide-oss	3.6.18	直接依赖	maven
libc.so		间接依赖
libcutils.so		间接依赖
net.sf.kxml:kxml2	2.3.0	间接依赖	maven
/System/Library/Frameworks/IOKit.framework/Versions/A/IOKit		间接依赖
libdl.so.2		间接依赖
log4j:log4j	1.2.17	间接依赖	maven
WINUSB.DLL		间接依赖
com.fasterxml.jackson.core:jackson-annotations	2.8.5	直接依赖	maven
SHELL32.dll		间接依赖
/usr/lib/libSystem.B.dylib		间接依赖
SETUPAPI.dll		间接依赖
com.weblookandfeel:weblaf-ui	1.2.8	直接依赖	maven
/usr/lib/libobjc.A.dylib		间接依赖
libgui.so		间接依赖
libbinder.so		间接依赖
com.fasterxml.jackson.core:jackson-core	2.8.10	间接依赖	maven
com.thoughtworks.xstream:xstream	1.4.7	间接依赖	maven
libc.so.6		间接依赖
libui.so		间接依赖
com.google.guava:guava	20.0	间接依赖	maven
libpthread.so.0		间接依赖
io.homunculus:hcf-codegen		间接依赖	maven
msvcrt.dll		间接依赖
USER32.dll		间接依赖
org.apache.mina:mina-core	2.0.19	直接依赖	maven
WS2_32.dll		间接依赖
libsurfaceflinger_client.so		间接依赖
libdl.so		间接依赖
com.github.kedzie.supportanimator:sample		间接依赖	maven
/System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation		间接依赖
ole32.dll		间接依赖
libgcc_s.so.1		间接依赖
com.android.tools:annotations	25.3.0	间接依赖	maven
libm.so		间接依赖
org.javassist:javassist	3.21.0-GA	间接依赖	maven
libutils.so		间接依赖
com.fasterxml.jackson.core:jackson-databind	2.8.11.1	直接依赖	maven
com.weblookandfeel:weblaf-core	1.2.8	间接依赖	maven
libc++.so		间接依赖
AdbWinApi.DLL		间接依赖
librt.so.1		间接依赖
liblog.so		间接依赖
org.reflections:reflections	0.9.11	直接依赖	maven
com.android.tools.ddms:ddmlib	25.3.0	直接依赖	maven
KERNEL32.dll		间接依赖

SBOM 开源软件漏洞

赞 (0)

cxong/tinydir 软件分析报告

上一篇 2023年10月25日

cxong/cdogs-sdl 软件分析报告

下一篇 2023年10月25日

jiayisheji/jianshu 软件分析报告

基础信息项目名称：jiayisheji/jianshu 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1719145761991344128/1719145762188476416 此报告由Murphysec提供…

软件分析 2023年10月31日
00
Tencent/bk-job 软件分析报告

基础信息项目名称：Tencent/bk-job 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1758872869263601664/1758873654978375680 此报告由Murphysec提供漏洞列…

软件分析 2024年2月17日
00
jmcdo29/testing-nestjs 软件分析报告

基础信息项目名称：jmcdo29/testing-nestjs 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1719174401601699840/1719174401974992896 此报告由Murphys…

软件分析 2023年10月31日
00
brianium/watermarkjs 软件分析报告

基础信息项目名称：brianium/watermarkjs 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716460826830618624/1716460826868367360 此报告由Murphysec…

软件分析 2023年10月23日
00
AsgardCms/Platform 软件分析报告

基础信息项目名称：AsgardCms/Platform 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716075950215135232/1716075950563262464 此报告由Murphysec提供…

软件分析 2023年10月23日
00