esastack/esa-restlight 软件分析报告

基础信息

项目名称:esastack/esa-restlight

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1717509940348321792/1717509940386070528

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
​ hibernate-validator 存在跨站脚本(XSS)漏洞 XSS MPS-2019-14389 CVE-2019-10219 中危
Spring Framework 反序列化 MPS-2020-0057 CVE-2016-1000027 严重
Pivotal Spring Framework 下载代码缺少完整性检查 MPS-2020-0902 CVE-2020-5398 高危
Pivotal Spring Framework 反射文件下载 (RFD) 漏洞 路径遍历 MPS-2020-13322 CVE-2020-5421 中危
FasterXML jackson-databind 代码问题漏洞 XXE MPS-2020-17358 CVE-2020-25649 高危
Google Guava 访问控制错误漏洞 关键资源权限分配不当 MPS-2020-17429 CVE-2020-8908 低危
hibernate-validator 存在输入验证错误漏洞 代码注入 MPS-2020-7077 CVE-2020-10693 中危
Netty 在具有不安全权限的目录中创建临时文件 MPS-2021-1580 CVE-2021-21290 中危
Spring Framework 日志输出的转义处理不恰当 MPS-2021-18854 CVE-2021-22060 中危
Pivotal Spring Framework 日志注入漏洞 日志输出的转义处理不恰当 MPS-2021-18890 CVE-2021-22096 中危
Google protobuf DOS漏洞 不正确的行为次序 MPS-2021-19066 CVE-2021-22569 中危
io.netty:netty-codec-http2 HTTP请求走私 MPS-2021-2435 CVE-2021-21295 中危
Netty Bzip2Decoder 存在资源穷尽漏洞 拒绝服务 MPS-2021-28116 CVE-2021-37136 高危
Netty 存在资源穷尽漏洞 拒绝服务 MPS-2021-28117 CVE-2021-37137 高危
io.netty:netty-codec-http2 HTTP请求走私 MPS-2021-3565 CVE-2021-21409 中危
Netty HTTP请求走私 MPS-2021-36922 CVE-2021-43797 中危
Spring Framework权限许可和访问控制问题漏洞 权限管理不当 MPS-2021-7485 CVE-2021-22118 高危
Jakarta Expression Language 表达式语言注入 MPS-2021-7671 CVE-2021-28170 中危
Spring Framework spring-beans 存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2022-1101 CVE-2022-22970 中危
io.netty:netty-handler 存在证书验证不恰当漏洞 证书验证不恰当 MPS-2022-12067 中危
com.google.code.gson:gson 存在BigDecimal拒绝服务漏洞 反序列化 MPS-2022-12287 CVE-2022-25647 高危
FasterXML Jackson-databind 拒绝服务漏洞 拒绝服务 MPS-2022-12500 中危
Netty 存在信息泄露漏洞 将资源暴露给错误范围 MPS-2022-3790 CVE-2022-24823 中危
Netty 未经控制的递归 MPS-2022-58518 CVE-2022-41881 中危
Netty 解释冲突 MPS-2022-58552 CVE-2022-41915 中危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞 拒绝服务 MPS-2022-58653 CVE-2022-42003 中危
FasterXML jackson-databind 小于2.13.4拒绝服务漏洞 拒绝服务 MPS-2022-58654 CVE-2022-42004 中危
IBM WebSphere Application Server Liberty 存在拒绝服务漏洞 对因果或异常条件的不恰当检查 MPS-2022-59813 CVE-2022-3509 中危
FasterXML jackson-databind 拒绝服务漏洞 越界写入 MPS-2022-6242 CVE-2020-36518 高危
spring-beans 远程代码执行漏洞(Spring4Shell) 表达式语言注入 MPS-2022-6820 CVE-2022-22965 严重
jackson-databind 拒绝服务漏洞 拒绝服务 MPS-2023-8438 CVE-2021-46877 中危
Netty 资源管理错误漏洞 拒绝服务 MPS-9u07-bna1 CVE-2023-34462 中危
Hot Rod 安全漏洞 证书验证不恰当 MPS-b7oj-adm3 CVE-2023-4586 高危
Guava 创建拥有不安全权限的临时文件 MPS-mfku-xzh3 CVE-2023-2976 中危
【存在争议】FasterXML jackson-databind 代码问题漏洞 不加限制或调节的资源分配 MPS-z1bx-p8y2 CVE-2023-35116 中危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
com.google.guava:guava 29.0-jre 32.0.0-jre 直接依赖 建议修复
io.netty:netty-handler 4.1.56.Final 间接依赖 建议修复
org.springframework:spring-web 5.1.4.RELEASE 6.0.0 直接依赖 建议修复
io.netty:netty-codec 4.1.56.Final 4.1.68.Final 间接依赖 建议修复
com.google.protobuf:protobuf-java 3.6.1 3.16.3 直接依赖 建议修复
org.springframework:spring-beans 5.1.4.RELEASE 5.2.22.RELEASE 间接依赖 建议修复
com.fasterxml.jackson.core:jackson-databind 2.10.1 直接依赖 建议修复
org.hibernate.validator:hibernate-validator 6.0.13.Final 6.0.19.Final 直接依赖 可选修复
io.netty:netty-common 4.1.56.Final 4.1.77.Final 间接依赖 可选修复
org.glassfish:javax.el 3.0.0 直接依赖 可选修复
io.netty:netty-codec-http 4.1.56.Final 4.1.86.final 间接依赖 可选修复
io.netty:netty-codec-haproxy 4.1.56.Final 4.1.86.final 间接依赖 可选修复
com.google.code.gson:gson 2.8.5 2.8.9 直接依赖 可选修复
io.netty:netty-transport-native-epoll 4.1.56.Final 4.1.59.Final 间接依赖 可选修复
org.springframework:spring-core 5.1.4.RELEASE 5.2.23.RELEASE 直接依赖 可选修复
io.netty:netty-codec-http2 4.1.56.Final 4.1.61.Final 间接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
自定义许可证 10
Apache-2.0 56
BSD-3-Clause 1
MIT 5
CDDL-1.1 1
BSD-2-Clause 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
i18n 0.9.5 间接依赖 bundler
kramdown-parser-gfm 1.1.0 间接依赖 bundler
jekyll 3.9.0 间接依赖 bundler
jekyll-sass-converter 1.5.2 间接依赖 bundler
ruby-enum 0.9.0 间接依赖 bundler
thread_safe 0.3.6 间接依赖 bundler
kramdown 2.3.0 间接依赖 bundler
io.esastack:commons 0.1.1 直接依赖 maven
com.jcraft:jzlib 1.1.3 直接依赖 maven
jekyll-theme-leap-day 0.1.1 间接依赖 bundler
jekyll-theme-time-machine 0.1.1 间接依赖 bundler
io.esastack:restlight-ext-validator-starter 0.1.2-SNAPSHOT 直接依赖 maven
sass-listen 4.0.0 间接依赖 bundler
rb-inotify 0.10.1 间接依赖 bundler
liquid 4.0.3 间接依赖 bundler
minima 2.5.1 间接依赖 bundler
racc 1.5.2 间接依赖 bundler
forwardable-extended 2.6.0 间接依赖 bundler
io.netty:netty-common 4.1.56.Final 间接依赖 maven
javax.validation:validation-api 2.0.1.Final 间接依赖 maven
jekyll-theme-hacker 0.1.2 间接依赖 bundler
com.google.protobuf:protobuf-java 3.6.1 直接依赖 maven
org.springframework:spring-web 5.1.4.RELEASE 直接依赖 maven
io.esastack:restlight-server-adapter 0.1.2-SNAPSHOT 直接依赖 maven
jekyll-theme-merlot 0.1.1 间接依赖 bundler
minitest 5.14.4 间接依赖 bundler
io.netty:netty-transport-native-unix-common 4.1.56.Final 间接依赖 maven
commonmarker 0.17.13 间接依赖 bundler
listen 3.5.1 间接依赖 bundler
jekyll-theme-primer 0.5.4 间接依赖 bundler
jekyll-theme-modernist 0.1.1 间接依赖 bundler
io.esastack:restlight-spring 0.1.2-SNAPSHOT 直接依赖 maven
safe_yaml 1.0.5 间接依赖 bundler
addressable 2.7.0 间接依赖 bundler
zeitwerk 2.4.2 间接依赖 bundler
public_suffix 3.1.1 间接依赖 bundler
terminal-table 1.8.0 间接依赖 bundler
jekyll-default-layout 0.1.4 间接依赖 bundler
tzinfo 1.2.9 间接依赖 bundler
org.hibernate.validator:hibernate-validator 6.0.13.Final 直接依赖 maven
jekyll-theme-dinky 0.1.1 间接依赖 bundler
io.netty:netty-resolver 4.1.56.Final 间接依赖 maven
io.esastack:restlight-ext-interceptor-starter 0.1.2-SNAPSHOT 直接依赖 maven
jekyll-paginate 1.1.0 间接依赖 bundler
io.esastack:restlight-ext-multipart 0.1.2-SNAPSHOT 直接依赖 maven
io.micrometer:micrometer-registry-prometheus 1.5.1 直接依赖 maven
com.fasterxml.jackson.core:jackson-databind 2.10.1 直接依赖 maven
activesupport 6.0.3.6 间接依赖 bundler
io.netty:netty-handler 4.1.56.Final 间接依赖 maven
jekyll-theme-tactile 0.1.1 间接依赖 bundler
jekyll-swiss 1.0.0 间接依赖 bundler
http_parser.rb 0.6.0 间接依赖 bundler
io.esastack:restlight-springmvc-annotation 0.1.2-SNAPSHOT 直接依赖 maven
nokogiri 1.11.3-x64-mingw32 间接依赖 bundler
jekyll-watch 2.2.1 间接依赖 bundler
dnsruby 1.61.5 间接依赖 bundler
concurrent-ruby 1.1.8 间接依赖 bundler
coffee-script 2.4.1 间接依赖 bundler
com.fasterxml.jackson.core:jackson-annotations 2.10.1 间接依赖 maven
io.netty:netty-codec-haproxy 4.1.56.Final 间接依赖 maven
faraday-net_http 1.0.1 间接依赖 bundler
javax.ws.rs:javax.ws.rs-api 2.1 直接依赖 maven
io.netty:netty-transport 4.1.56.Final 间接依赖 maven
eventmachine 1.2.7-x64-mingw32 间接依赖 bundler
jekyll-relative-links 0.6.1 间接依赖 bundler
io.esastack:commons-netty-http 0.1.1 间接依赖 maven
rb-fsevent 0.10.4 间接依赖 bundler
jekyll-avatar 0.7.0 间接依赖 bundler
typhoeus 1.4.0 间接依赖 bundler
jekyll-theme-slate 0.1.1 间接依赖 bundler
github-pages 209 间接依赖 bundler
simpleidn 0.2.1 间接依赖 bundler
io.netty:netty-transport-native-epoll 4.1.56.Final 间接依赖 maven
gemoji 3.0.1 间接依赖 bundler
com.fasterxml:classmate 1.3.4 间接依赖 maven
org.springframework:spring-beans 5.1.4.RELEASE 间接依赖 maven
com.google.guava:listenablefuture 9999.0-empty-to-avoid-conflict-with-guava 间接依赖 maven
io.netty:netty-codec-http 4.1.56.Final 间接依赖 maven
com.google.guava:guava 29.0-jre 直接依赖 maven
unf_ext 0.0.7.7 间接依赖 bundler
execjs 2.7.0 间接依赖 bundler
multipart-post 2.1.1 间接依赖 bundler
jekyll-rtd-theme 2.0.10 间接依赖 bundler
jekyll-feed 0.15.1 间接依赖 bundler
net.sf.jopt-simple:jopt-simple 4.6 间接依赖 maven
jekyll-mentions 1.6.0 间接依赖 bundler
org.openjdk.jmh:jmh-core 1.22 直接依赖 maven
pathutil 0.16.2 间接依赖 bundler
ruby2_keywords 0.0.4 间接依赖 bundler
io.netty:netty-buffer 4.1.56.Final 间接依赖 maven
org.jboss.logging:jboss-logging 3.3.2.Final 间接依赖 maven
sawyer 0.8.2 间接依赖 bundler
com.google.guava:failureaccess 1.0.1 间接依赖 maven
unf 0.1.4 间接依赖 bundler
coffee-script-source 1.11.1 间接依赖 bundler
jekyll-remote-theme 0.4.2 间接依赖 bundler
rexml 3.2.5 间接依赖 bundler
com.google.j2objc:j2objc-annotations 1.3 间接依赖 maven
io.netty:netty-codec-http2 4.1.56.Final 间接依赖 maven
rouge 3.23.0 间接依赖 bundler
io.esastack:httpserver 0.1.0 直接依赖 maven
com.google.code.findbugs:jsr305 3.0.2 间接依赖 maven
io.netty:netty-tcnative-boringssl-static 2.0.35.Final 直接依赖 maven
org.apache.commons:commons-math3 3.2 间接依赖 maven
jekyll-gist 1.5.0 间接依赖 bundler
io.esastack:restlight-ext-validator 0.1.2-SNAPSHOT 直接依赖 maven
io.esastack:restlight-ext-multipart-starter 0.1.2-SNAPSHOT 直接依赖 maven
io.esastack:restlight-springmvc-provider 0.1.2-SNAPSHOT 直接依赖 maven
io.esastack:commons-http 0.1.1 间接依赖 maven
org.glassfish:javax.el 3.0.0 直接依赖 maven
io.esastack:restlight-core 0.1.2-SNAPSHOT 直接依赖 maven
em-websocket 0.5.2 间接依赖 bundler
jekyll-theme-architect 0.1.1 间接依赖 bundler
jemoji 0.12.0 间接依赖 bundler
faraday 1.3.0 间接依赖 bundler
jekyll-titles-from-headings 0.5.3 间接依赖 bundler
org.latencyutils:LatencyUtils 2.0.3 间接依赖 maven
jekyll-redirect-from 0.16.0 间接依赖 bundler
jekyll-theme-cayman 0.1.1 间接依赖 bundler
rubyzip 2.3.0 间接依赖 bundler
io.prometheus:simpleclient 0.8.1 间接依赖 maven
org.springframework:spring-jcl 5.1.4.RELEASE 间接依赖 maven
colorator 1.1.0 间接依赖 bundler
com.google.code.gson:gson 2.8.5 直接依赖 maven
io.esastack:restlight-server 0.1.2-SNAPSHOT 直接依赖 maven
org.springframework:spring-core 5.1.4.RELEASE 直接依赖 maven
jekyll-sitemap 1.4.0 间接依赖 bundler
io.esastack:restlight-test-mock 0.1.2-SNAPSHOT 直接依赖 maven
org.ow2.asm:asm 7.0 直接依赖 maven
html-pipeline 2.14.0 间接依赖 bundler
io.prometheus:simpleclient_common 0.8.1 间接依赖 maven
mercenary 0.3.6 间接依赖 bundler
unicode-display_width 1.7.0 间接依赖 bundler
io.esastack:restlight-ext-filter-starter 0.1.2-SNAPSHOT 直接依赖 maven
io.esastack:restlight-common 0.1.2-SNAPSHOT 直接依赖 maven
jekyll-seo-tag 2.6.1 间接依赖 bundler
io.netty:netty-codec 4.1.56.Final 间接依赖 maven
jekyll-github-metadata 2.13.0 间接依赖 bundler
ethon 0.12.0 间接依赖 bundler
jekyll-commonmark-ghpages 0.1.6 间接依赖 bundler
github-pages-health-check 1.16.1 间接依赖 bundler
org.checkerframework:checker-qual 2.11.1 间接依赖 maven
jekyll-optional-front-matter 0.3.2 间接依赖 bundler
io.esastack:restlight-ext-interceptor 0.1.2-SNAPSHOT 直接依赖 maven
jekyll-readme-index 0.3.0 间接依赖 bundler
com.fasterxml.jackson.core:jackson-core 2.10.1 间接依赖 maven
octokit 4.20.0 间接依赖 bundler
jekyll-theme-minimal 0.1.1 间接依赖 bundler
sass 3.7.4 间接依赖 bundler
ffi 1.15.0-x64-mingw32 间接依赖 bundler
org.hdrhistogram:HdrHistogram 2.1.12 间接依赖 maven
org.hibernate.validator:hibernate-validator-annotation-processor 6.0.13.Final 直接依赖 maven
jekyll-coffeescript 1.1.1 间接依赖 bundler
com.google.errorprone:error_prone_annotations 2.3.4 间接依赖 maven
io.micrometer:micrometer-core 1.5.1 直接依赖 maven
jekyll-commonmark 1.3.1 间接依赖 bundler
io.esastack:restlight-ext-filter 0.1.2-SNAPSHOT 直接依赖 maven
jekyll-theme-midnight 0.1.1 间接依赖 bundler
(0)
上一篇 2023年10月26日
下一篇 2023年10月26日

相关推荐

  • bteapot/BTInfiniteScrollView 软件分析报告

    基础信息 项目名称:bteapot/BTInfiniteScrollView 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1716480261520752640/1716480261596250112 此报告由M…

    软件分析 2023年10月23日
    0
  • mbi/django-simple-captcha 软件分析报告

    基础信息 项目名称:mbi/django-simple-captcha 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1755506937541980160/1755506937646837760 此报告由Murp…

    软件分析 2024年2月8日
    0
  • coreos/etcd-operator 软件分析报告

    基础信息 项目名称:coreos/etcd-operator 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1716856486865010688/1716856487829700608 此报告由Murphysec…

    软件分析 2023年10月25日
    0
  • kactus-io/kactus 软件分析报告

    基础信息 项目名称:kactus-io/kactus 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721329275813842944/1728586358786056192 此报告由Murphysec提供 漏…

    软件分析 2023年11月26日
    0
  • spring-projects/spring-batch 软件分析报告

    基础信息 项目名称:spring-projects/spring-batch 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1763146554733666304/1763146582495764480 此报告由M…

    软件分析 2024年2月29日
    0