docker/labs 软件分析报告

基础信息

项目名称:docker/labs

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1717209572560388096/1717209572598136832

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
web framework qs模块输入验证漏洞 输入验证不恰当 MPS-2017-7711 CVE-2017-1000048 高危
Bootstrap 跨站脚本漏洞 XSS MPS-2018-9640 CVE-2018-14040 中危
Bootstrap 跨站脚本漏洞 XSS MPS-2018-9642 CVE-2018-14042 中危
Bootstrap跨站脚本漏洞 XSS MPS-2019-0181 CVE-2018-20676 中危
Bootstrap跨站脚本漏洞 XSS MPS-2019-0182 CVE-2018-20677 中危
​ hibernate-validator 存在跨站脚本(XSS)漏洞 XSS MPS-2019-14389 CVE-2019-10219 中危
handlebars 原型污染漏洞 原型污染 MPS-2019-16888 CVE-2019-19919 严重
Bootstrap 存在跨站脚本漏洞 XSS MPS-2019-1791 CVE-2019-8331 中危
Spring Framework 反序列化 MPS-2020-0057 CVE-2016-1000027 严重
Pivotal Spring Framework 反射文件下载 (RFD) 漏洞 路径遍历 MPS-2020-13322 CVE-2020-5421 中危
handlebars 代码注入漏洞 代码注入 MPS-2020-13732 CVE-2019-20920 高危
handlebars 安全漏洞 不可达退出条件的循环(无限循环) MPS-2020-13734 CVE-2019-20922 高危
hibernate-core SQL注入 MPS-2020-16768 CVE-2020-25638 高危
minimist 原型污染漏洞 原型污染 MPS-2020-3516 CVE-2020-7598 中危
mysql:mysql-connector-java XXE MPS-2020-38350 CVE-2021-2471 中危
dom4j SaxReader函数存在 XXE 漏洞 XXE MPS-2020-6967 CVE-2020-10683 严重
hibernate-validator 存在输入验证错误漏洞 代码注入 MPS-2020-7077 CVE-2020-10693 中危
Hibernate 存在 SQL 注入漏洞 SQL注入 MPS-2020-9908 CVE-2019-14900 中危
Spring Framework 日志输出的转义处理不恰当 MPS-2021-18854 CVE-2021-22060 中危
Pivotal Spring Framework 日志注入漏洞 日志输出的转义处理不恰当 MPS-2021-18890 CVE-2021-22096 中危
Google protobuf DOS漏洞 不正确的行为次序 MPS-2021-19066 CVE-2021-22569 中危
Oracle MySQL 的 MySQL Connectors 存在授权不当漏洞 授权机制不恰当 MPS-2021-36587 CVE-2022-21363 中危
minimist 安全漏洞 原型污染 MPS-2021-38405 CVE-2021-44906 严重
handlebars 远程代码执行 (RCE) 漏洞 代码注入 MPS-2021-4548 CVE-2021-23369 严重
handlebars 原型污染 MPS-2021-6180 CVE-2021-23383 严重
handlebars 信息泄露漏洞 代码注入 MPS-2021-6461 CVE-2021-32820 高危
Vmware Spring Framework 安全漏洞 不加限制或调节的资源分配 MPS-2022-1080 CVE-2022-22950 中危
Pivotal Spring Framework 安全限制绕过漏洞 大小写敏感处理不恰当 MPS-2022-1098 CVE-2022-22968 中危
Spring Framework spring-beans 存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2022-1101 CVE-2022-22970 中危
handlebars 存在原型污染漏洞 MAID MPS-2022-13730 高危
handlebars 存在原型污染漏洞 MAID MPS-2022-13731 高危
handlebars 存在拒绝服务漏洞 拒绝服务 MPS-2022-13732 高危
handlebars 存在代码注入漏洞 代码注入 MPS-2022-13733 高危
handlebars 存在拒绝服务漏洞 拒绝服务 MPS-2022-13734 严重
handlebars 拒绝服务 MPS-2022-13735 中危
uglify-js ReDoS MPS-2022-14112 中危
Express 中的 qs 模块存在原型污染漏洞 原型污染 MPS-2022-3967 CVE-2022-24999 高危
IBM WebSphere Application Server Liberty 存在拒绝服务漏洞 对因果或异常条件的不恰当检查 MPS-2022-59813 CVE-2022-3509 中危
minimatch 资源管理错误漏洞 拒绝服务 MPS-2022-59845 CVE-2022-3517 高危
Spring Expression 存在拒绝服务漏洞 拒绝服务 MPS-2022-62835 CVE-2023-20863 高危
spring-beans 远程代码执行漏洞(Spring4Shell) 表达式语言注入 MPS-2022-6820 CVE-2022-22965 严重
vercel ms 安全漏洞 ReDoS MPS-2023-0304 CVE-2017-20162 中危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
mysql:mysql-connector-java 8.0.16 8.0.28 直接依赖 建议修复
qs 6.2.0 6.2.4 间接依赖 建议修复
express 4.14.1 4.17.3 直接依赖 建议修复
org.springframework:spring-context 4.3.25.RELEASE 5.2.21.RELEASE 间接依赖 建议修复
minimist 0.0.10 1.2.6 间接依赖 建议修复
minimatch 3.0.4 3.0.5 间接依赖 建议修复
org.springframework:spring-beans 4.3.25.RELEASE 5.2.22.RELEASE 间接依赖 建议修复
org.springframework:spring-web 4.3.25.RELEASE 6.0.0 间接依赖 建议修复
dom4j:dom4j 1.6.1 间接依赖 建议修复
bootstrap 3.0.0 3.4.1 间接依赖 建议修复
com.google.protobuf:protobuf-java 3.6.1 3.16.3 间接依赖 建议修复
express-handlebars 3.0.0 5.3.1 直接依赖 建议修复
handlebars 4.0.10 4.7.7 间接依赖 建议修复
org.hibernate:hibernate-core 4.1.9.Final 5.4.24.Final 间接依赖 建议修复
uglify-js 2.8.29 3.14.3 间接依赖 可选修复
ms 0.7.1 2.0.0 间接依赖 可选修复
org.springframework:spring-core 4.3.25.RELEASE 5.2.23.RELEASE 间接依赖 可选修复
org.hibernate:hibernate-validator 5.3.6.Final 6.0.19.Final 直接依赖 可选修复
org.springframework:spring-expression 4.3.25.RELEASE 5.2.24 间接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
MIT 64
ISC 9
LGPL-2.1 1
MPL-1.1 1
Apache-2.0 18
自定义许可证 6
BSD-3-Clause 5
non-standard 2
BSD-2-Clause 1
EPL-1.0 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
brace-expansion 1.1.8 间接依赖 npm
mime-types 2.1.16 间接依赖 npm
once 1.4.0 间接依赖 npm
org.javassist:javassist 3.17.1-GA 间接依赖 maven
object.assign 4.0.4 间接依赖 npm
decamelize 1.2.0 间接依赖 npm
org.springframework.data:spring-data-commons 1.13.23.RELEASE 间接依赖 maven
Microsoft.AspNet.Web.Optimization 1.1.3 间接依赖 nuget
express 4.14.1 直接依赖 npm
content-disposition 0.5.2 间接依赖 npm
Selenium.Firefox.WebDriver 0.13.0 间接依赖 nuget
org.jboss.spec.javax.transaction:jboss-transaction-api_1.1_spec 1.0.0.Final 间接依赖 maven
etag 1.7.0 间接依赖 npm
content-type 1.0.2 间接依赖 npm
function-bind 1.1.0 间接依赖 npm
cliui 2.1.0 间接依赖 npm
org.springframework:spring-context 4.3.25.RELEASE 间接依赖 maven
window-size 0.1.0 间接依赖 npm
Newtonsoft.Json 9.0.1 间接依赖 nuget
Selenium.WebDriver 3.0.1 间接依赖 nuget
org.springframework:spring-beans 4.3.25.RELEASE 间接依赖 maven
define-properties 1.1.2 间接依赖 npm
dom4j:dom4j 1.6.1 间接依赖 maven
destroy 1.0.4 间接依赖 npm
Microsoft.AspNet.ScriptManager.WebForms 5.0.0 间接依赖 nuget
org.springframework:spring-jdbc 4.3.25.RELEASE 直接依赖 maven
glob 6.0.4 间接依赖 npm
org.springframework:spring-tx 4.3.25.RELEASE 间接依赖 maven
fresh 0.5.2 间接依赖 npm
Microsoft.AspNet.ScriptManager.MSAjax 5.0.0 间接依赖 nuget
NATS.Client 0.7.0 间接依赖 nuget
org.slf4j:slf4j-simple 1.6.2 直接依赖 maven
yargs 3.10.0 间接依赖 npm
org.springframework.data:spring-data-jpa 1.11.23.RELEASE 直接依赖 maven
EntityFramework 4.3.1 间接依赖 nuget
uglify-to-browserify 1.0.2 间接依赖 npm
org.jboss.logging:jboss-logging 3.3.0.Final 间接依赖 maven
http-errors 1.5.1 间接依赖 npm
Antlr 3.4.1.9004 间接依赖 nuget
on-finished 2.3.0 间接依赖 npm
antlr:antlr 2.7.7 间接依赖 maven
qs 6.2.0 间接依赖 npm
mime-db 1.29.0 间接依赖 npm
right-align 0.1.3 间接依赖 npm
foreach 2.0.5 间接依赖 npm
org.springframework:spring-orm 4.3.25.RELEASE 直接依赖 maven
org.springframework:spring-expression 4.3.25.RELEASE 间接依赖 maven
center-align 0.1.3 间接依赖 npm
SpecFlow 2.1.0 间接依赖 nuget
Selenium.Support 3.0.1 间接依赖 nuget
Respond 1.2.0 间接依赖 nuget
send 0.14.2 间接依赖 npm
path-to-regexp 0.1.7 间接依赖 npm
depd 1.1.1 间接依赖 npm
setprototypeof 1.0.2 间接依赖 npm
Modernizr 2.6.2 间接依赖 nuget
type-is 1.6.15 间接依赖 npm
javax.validation:validation-api 1.1.0.Final 间接依赖 maven
path-is-absolute 1.0.1 间接依赖 npm
serve-static 1.11.2 间接依赖 npm
inflight 1.0.6 间接依赖 npm
debug 2.6.9 间接依赖 npm
ms 0.7.1 间接依赖 npm
org.hibernate:hibernate-entitymanager 4.1.9.Final 直接依赖 maven
escape-html 1.0.3 间接依赖 npm
utils-merge 1.0.0 间接依赖 npm
media-typer 0.3.0 间接依赖 npm
mime 1.4.1 间接依赖 npm
AspNet.ScriptManager.jQuery 1.10.2 间接依赖 nuget
balanced-match 1.0.0 间接依赖 npm
org.hibernate:hibernate-core 4.1.9.Final 间接依赖 maven
com.google.protobuf:protobuf-java 3.6.1 间接依赖 maven
ADVAPI32.dll 间接依赖
asap 2.0.6 间接依赖 npm
com.fasterxml:classmate 1.3.1 间接依赖 maven
express-handlebars 3.0.0 直接依赖 npm
commons-logging:commons-logging 1.2 间接依赖 maven
org.springframework:spring-webmvc 4.3.25.RELEASE 直接依赖 maven
org.slf4j:slf4j-api 1.7.25 间接依赖 maven
bootstrap 3.0.0 间接依赖 nuget
org.slf4j:jcl-over-slf4j 1.7.25 间接依赖 maven
array-flatten 1.1.1 间接依赖 npm
cookie 0.3.1 间接依赖 npm
object-keys 1.0.11 间接依赖 npm
proxy-addr 1.1.5 间接依赖 npm
wordwrap 0.0.3 间接依赖 npm
cookie-signature 1.0.6 间接依赖 npm
parseurl 1.3.1 间接依赖 npm
statuses 1.3.1 间接依赖 npm
org.hibernate:hibernate-validator 5.3.6.Final 直接依赖 maven
javax.servlet:jstl 1.2 直接依赖 maven
negotiator 0.6.1 间接依赖 npm
mysql:mysql-connector-java 8.0.16 直接依赖 maven
wrappy 1.0.2 间接依赖 npm
jQuery 1.10.2 间接依赖 nuget
Newtonsoft.Json 6.0.4 间接依赖 nuget
accepts 1.3.3 间接依赖 npm
uglify-js 2.8.29 间接依赖 npm
ipaddr.js 1.4.0 间接依赖 npm
Microsoft.Web.Infrastructure 1.0.0.0 间接依赖 nuget
org.aspectj:aspectjrt 1.8.13 间接依赖 maven
source-map 0.4.4 间接依赖 npm
minimatch 3.0.4 间接依赖 npm
org.springframework:spring-core 4.3.25.RELEASE 间接依赖 maven
Flask 1.0 间接依赖 pip
inherits 2.0.3 间接依赖 npm
minimist 0.0.10 间接依赖 npm
handlebars 4.0.10 间接依赖 npm
Microsoft.AspNet.FriendlyUrls.Core 1.0.2 间接依赖 nuget
org.springframework:spring-aop 4.3.25.RELEASE 间接依赖 maven
graceful-fs 4.1.11 间接依赖 npm
optimist 0.6.1 间接依赖 npm
merge-descriptors 1.0.1 间接依赖 npm
flask 间接依赖 pip
promise 7.3.1 间接依赖 npm
async 1.5.2 间接依赖 npm
WebGrease 1.5.2 间接依赖 nuget
Microsoft.AspNet.Web.Optimization.WebForms 1.1.3 间接依赖 nuget
amdefine 1.0.1 间接依赖 npm
concat-map 0.0.1 间接依赖 npm
Microsoft.AspNet.FriendlyUrls 1.0.2 间接依赖 nuget
Elasticsearch.Net 5.0.1 间接依赖 nuget
AspNet.ScriptManager.bootstrap 3.0.0 间接依赖 nuget
org.hibernate.common:hibernate-commons-annotations 4.0.1.Final 间接依赖 maven
camelcase 1.2.1 间接依赖 npm
unpipe 1.0.0 间接依赖 npm
org.hibernate.javax.persistence:hibernate-jpa-2.0-api 1.0.1.Final 间接依赖 maven
vary 1.1.1 间接依赖 npm
encodeurl 1.0.1 间接依赖 npm
NEST 5.0.1 间接依赖 nuget
KERNEL32.dll 间接依赖
javax.transaction:jta 1.1 直接依赖 maven
finalhandler 0.5.1 间接依赖 npm
forwarded 0.1.2 间接依赖 npm
range-parser 1.2.0 间接依赖 npm
ee-first 1.1.1 间接依赖 npm
bootstrap 3.4.1 间接依赖 nuget
org.springframework:spring-web 4.3.25.RELEASE 间接依赖 maven
methods 1.1.2 间接依赖 npm
/usr/src/app/requirements.txt 间接依赖 pip
(0)
上一篇 2023年10月26日
下一篇 2023年10月26日

相关推荐

  • BeauNouvelle/FaceAware 软件分析报告

    基础信息 项目名称:BeauNouvelle/FaceAware 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1720885152113295360/1720885153409335296 此报告由Murphys…

    软件分析 2023年11月5日
    0
  • d4l3k/go-pry 软件分析报告

    基础信息 项目名称:d4l3k/go-pry 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1717008118667067392/1717008118943891456 此报告由Murphysec提供 漏洞列表 …

    软件分析 2023年10月25日
    0
  • h2o/h2o 软件分析报告

    基础信息 项目名称:h2o/h2o 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721253865206124544/1726469611330686976 此报告由Murphysec提供 漏洞列表 漏洞名称 …

    软件分析 2023年11月20日
    0
  • ayushagg31/Trellis 软件分析报告

    基础信息 项目名称:ayushagg31/Trellis 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1716185825573388288/1716185825615331328 此报告由Murphysec提供…

    软件分析 2023年10月23日
    0
  • wingleung/save-page-state 软件分析报告

    基础信息 项目名称:wingleung/save-page-state 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1729880247590932480/1729880247775481856 此报告由Murp…

    软件分析 2023年11月29日
    0