didi/booster 软件分析报告

基础信息

项目名称:didi/booster

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1717147028404436992/1717147035845132288

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
低危
Apache HttpClient 中间人攻击漏洞 对宿主不匹配的证书验证不恰当 MPS-2014-4112 CVE-2014-3577 中危
libjpeg-turbo 安全漏洞 空指针取消引用 MPS-2017-11385 CVE-2017-15232 中危
libjpeg-turbo 缓冲区错误漏洞 越界读取 MPS-2018-15262 CVE-2018-19664 中危
libjpeg-turbo 缓冲区错误漏洞 越界写入 MPS-2018-16156 CVE-2018-20330 高危
libjpeg 安全漏洞 过度迭代 MPS-2018-7108 CVE-2018-11813 高危
libjpeg-turbo 安全漏洞 除零错误 MPS-2018-8089 CVE-2018-1152 中危
libpng 数字错误漏洞 除零错误 MPS-2018-9315 CVE-2018-13785 中危
libpng 安全漏洞 输入验证不恰当 MPS-2018-9648 CVE-2018-14048 中危
libpng 资源管理错误漏洞 UAF MPS-2019-1241 CVE-2019-7317 中危
libjpeg-turbo和MozJPEG 缓冲区错误漏洞 越界读取 MPS-2019-2308 CVE-2018-14498 中危
libpng 缓冲区错误漏洞 越界写入 MPS-2019-7748 CVE-2018-14550 高危
libjpeg 资源管理错误漏洞 不加限制或调节的资源分配 MPS-2019-8198 CVE-2019-13960 中危
Apache HttpClient URI解析错误漏洞 XSS MPS-2020-17341 CVE-2020-13956 中危
libjpeg-turbo 安全漏洞 空指针取消引用 MPS-2020-35856 CVE-2020-35538 中危
libjpeg-turbo 缓冲区错误漏洞 越界读取 MPS-2020-8147 CVE-2020-13790 高危
libjpeg-turbo 缓冲区错误漏洞 越界写入 MPS-2021-22766 CVE-2021-29390 严重
DRC libjpeg-turbo 数字错误漏洞 除零错误 MPS-2021-2940 CVE-2021-20205 中危
Libjpeg-turbo 缓冲区错误漏洞 越界写入 MPS-2021-7701 CVE-2020-17541 高危
commons-codec:commons-codec 存在信息泄露漏洞 未授权敏感信息泄露 MPS-2022-11853 低危
com.google.code.gson:gson 存在BigDecimal拒绝服务漏洞 反序列化 MPS-2022-12287 CVE-2022-25647 高危
Apache HttpClient URI解析错误漏洞 相对路径遍历 MPS-2022-12292 中危
libpng 代码问题漏洞 空指针取消引用 MPS-2022-63559 CVE-2022-3857 中危
Guava 创建拥有不安全权限的临时文件 MPS-mfku-xzh3 CVE-2023-2976 中危
libjpeg-turbo 缓冲区错误漏洞 越界写入 MPS-ntew-f62l CVE-2023-2804 中危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
libjpeg-turbo 1.5.2 3.0.0 间接依赖 建议修复
libpng 1.6.34 间接依赖 建议修复
libpng 1.6.37 间接依赖 建议修复
commons-codec:commons-codec 1.6 1.13 间接依赖 可选修复
libjpeg-turbo 2.1.3 3.0.0 间接依赖 可选修复
com.google.guava:guava 30.1.1-jre 32.0.0-jre 间接依赖 可选修复
org.eclipse.jgit:org.eclipse.jgit 5.10.0.202012080955-r 6.6.1.202309021850-r 间接依赖 可选修复
org.apache.httpcomponents:httpclient 4.2.6 4.5.13 间接依赖 可选修复
com.google.code.gson:gson 2.3 2.8.9 间接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
Apache-2.0 22
自定义许可证 5
MIT 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
org.jetbrains.kotlin:kotlin-reflect 1.6.21 直接依赖 maven
org.apache.commons:commons-compress 1.21 间接依赖 maven
com.android.tools:sdklib 26.0.0 间接依赖 maven
org.apache.httpcomponents:httpclient 4.2.6 间接依赖 maven
::booster-annotations 直接依赖 maven
::booster-transform-spi 间接依赖 maven
ole32.dll 间接依赖
libX11 间接依赖
com.google.auto:auto-common 1.0 间接依赖 maven
/usr/lib/libc++.1.dylib 间接依赖
libjpeg-turbo 2.1.3 间接依赖
::booster-android-gradle-v4_2 间接依赖 maven
com.android.tools.layoutlib:layoutlib-api 26.0.0 间接依赖 maven
libXxf86vm 间接依赖
::booster-android-gradle-v7_1 间接依赖 maven
com.google.errorprone:error 间接依赖 maven
::booster-kotlinx 间接依赖 maven
::booster-android-gradle-compat 间接依赖 maven
::booster-android-gradle-v4_0 间接依赖 maven
::booster-task-spi 间接依赖 maven
com.google.code.gson:gson 2.3 间接依赖 maven
org.apache.httpcomponents:httpcore 4.2.5 间接依赖 maven
libc.so.6 间接依赖
commons-logging:commons-logging 1.1.1 间接依赖 maven
::booster-android-gradle-v3_3 间接依赖 maven
com.android.tools:dvlib 26.0.0 间接依赖 maven
::booster-android-gradle-v7_3 间接依赖 maven
::booster-android-gradle-v3_4 间接依赖 maven
libpthread.so.0 间接依赖
::booster-android-gradle-v7_2 间接依赖 maven
::booster-gradle-plugin 直接依赖 maven
::booster-android-gradle-v7_0 间接依赖 maven
commons-codec:commons-codec 1.6 间接依赖 maven
libXi 间接依赖
com.google.j2objc:j2objc-annotations 1.3 间接依赖 maven
org.checkerframework:checker-qual 3.8.0 间接依赖 maven
net.sf.kxml:kxml2 2.3.0 间接依赖 maven
libpng 1.6.34 间接依赖
libm.so.6 间接依赖
com.android.tools:repository 26.0.0 间接依赖 maven
::booster-android-gradle-api 间接依赖 maven
::booster-android-gradle-v7_4 间接依赖 maven
org.jetbrains.kotlin:kotlin-stdlib 1.6.21 直接依赖 maven
com.android.tools:annotations 26.0.0 间接依赖 maven
SHLWAPI.dll 间接依赖
com.google.guava:guava 30.1.1-jre 间接依赖 maven
/usr/lib/libSystem.B.dylib 间接依赖
com.google.guava:listenablefuture 9999.0-empty-to-avoid-conflict-with-guava 间接依赖 maven
libpng 1.6.37 间接依赖
com.intellij:annotations 12.0 间接依赖 maven
libjpeg-turbo 1.5.2 间接依赖
::booster-transform-util 直接依赖 maven
com.google.auto.service:auto-service-annotations 1.0 间接依赖 maven
com.google.auto.service:auto-service 1.0 间接依赖 maven
libGL.so.1 间接依赖
com.google.guava:failureaccess 1.0.1 间接依赖 maven
org.eclipse.jgit:org.eclipse.jgit 5.10.0.202012080955-r 间接依赖 maven
org.apache.httpcomponents:httpmime 4.1 间接依赖 maven
KERNEL32.dll 间接依赖
::booster-android-gradle-v3_5 间接依赖 maven
com.google.code.findbugs:jsr305 3.0.2 间接依赖 maven
::booster-api 直接依赖 maven
::booster-android-gradle-v4_1 间接依赖 maven
::booster-build 间接依赖 maven
com.google.jimfs:jimfs 1.1 间接依赖 maven
::booster-android-gradle-v3_6 间接依赖 maven
com.android.tools:common 26.0.0 间接依赖 maven
(0)
上一篇 2023年10月25日
下一篇 2023年10月25日

相关推荐

  • kojisekig/word2vec-lucene 软件分析报告

    基础信息 项目名称:kojisekig/word2vec-lucene 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721344273856417792/1727060958601236480 此报告由Murp…

    软件分析 2023年11月22日
    0
  • xiezhongmin/XZMCoreNewFeature 软件分析报告

    基础信息 项目名称:xiezhongmin/XZMCoreNewFeature 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1728703480272474112/1728703480532520960 此报告由…

    软件分析 2023年11月26日
    0
  • clalancette/oz 软件分析报告

    基础信息 项目名称:clalancette/oz 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721091155180982272/1731586354435284992 此报告由Murphysec提供 漏洞列…

    软件分析 2023年12月4日
    0
  • jellyfin/jellyfin 软件分析报告

    基础信息 项目名称:jellyfin/jellyfin 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721302641588862976/1724164162026168320 此报告由Murphysec提供 …

    软件分析 2023年11月14日
    0
  • hubinix/kamike.divide 软件分析报告

    基础信息 项目名称:hubinix/kamike.divide 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721264953234063360/1728307338695102464 此报告由Murphyse…

    软件分析 2023年11月25日
    0