igniterealtime/Whack 软件分析报告

2023年10月30日上午8:03 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：igniterealtime/Whack

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1718780111704686592/1718780111750823936

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
Jetty 拒绝服务漏洞	密码学问题	MPS-2011-4130	CVE-2011-4461	中危
Apache Commons HttpClient Amazon FPS 输入验证错误漏洞	证书验证不恰当	MPS-2012-4618	CVE-2012-5783	中危
Apache HttpClient 中间人攻击漏洞	输入验证不恰当	MPS-2014-4288	CVE-2012-6153	中危
Jetty 信息泄露漏洞	通过差异性导致的信息暴露	MPS-2017-6690	CVE-2017-9735	高危
Eclipse Jetty	HTTP请求走私	MPS-2018-8347	CVE-2017-7657	严重
Eclipse Jetty	HTTP请求走私	MPS-2018-8415	CVE-2017-7658	严重
Apache Log4j SocketServer反序列化漏洞	反序列化	MPS-2019-17271	CVE-2019-17571	严重
Eclipse Jetty 信息泄露漏洞	未授权敏感信息泄露	MPS-2019-4270	CVE-2019-10247	中危
Eclipse Jetty 权限提升漏洞	权限、特权和访问控制	MPS-2020-15633	CVE-2020-27216	高危
Apache Log4j2 SmtpAppender证书验证不当漏洞	证书验证不恰当	MPS-2020-6684	CVE-2020-9488	低危
dom4j SaxReader函数存在 XXE 漏洞	XXE	MPS-2020-6967	CVE-2020-10683	严重
Apache Log4j JMSAppender反序列化漏洞	反序列化	MPS-2021-38359	CVE-2021-4104	高危
Eclipse Jetty 存在信息泄露漏洞	不充分的会话过期机制	MPS-2021-8884	CVE-2021-34428	低危
Apache Log4j JDBCAppender SQL注入漏洞	SQL注入	MPS-2022-1444	CVE-2022-23305	严重
Apache Log4j Chainsaw反序列化漏洞	反序列化	MPS-2022-1445	CVE-2022-23307	高危
Apache Log4j 反序列化漏洞	反序列化	MPS-2022-1446	CVE-2022-23302	高危
Eclipse Jetty URI注入漏洞	注入	MPS-2022-18060	CVE-2022-2047	低危
Eclipse Jetty 资源管理错误漏洞	拒绝服务	MPS-2023-4997	CVE-2023-26048	中危
Eclipse Jetty 信息泄露漏洞	XSS	MPS-2023-4998	CVE-2023-26049	中危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
org.eclipse.jetty:jetty-server	7.0.1.v20091125	9.4.51	直接依赖	建议修复
org.eclipse.jetty:jetty-http	7.0.1.v20091125	11.0.16	间接依赖	建议修复
org.eclipse.jetty:jetty-webapp	7.0.1.v20091125	9.4.33.v20201020	直接依赖	建议修复
log4j:log4j	1.2.8		间接依赖	建议修复
org.eclipse.jetty:jetty-util	7.0.1.v20091125	9.2.28.v20190418	间接依赖	建议修复
dom4j:dom4j	1.6.1		间接依赖	建议修复
commons-httpclient:commons-httpclient	2.0		间接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
自定义许可证	5	低
Apache-2.0	15	低
MIT	3	低
LGPL-2.1-or-later	1	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
net.jcip:jcip-annotations	1.0	间接依赖	maven
com.googlecode.concurrentlinkedhashmap:concurrentlinkedhashmap-lru	1.0_jdk5	间接依赖	maven
org.igniterealtime:tinder	1.2.3	直接依赖	maven
xmlpull:xmlpull	1.1.3.4a	直接依赖	maven
org.eclipse.jetty:jetty-security	7.0.1.v20091125	间接依赖	maven
org.eclipse.jetty:jetty-continuation	7.0.1.v20091125	间接依赖	maven
log4j:log4j	1.2.8	间接依赖	maven
commons-logging:commons-logging	1.0.3	间接依赖	maven
org.eclipse.jetty:jetty-xml	7.0.1.v20091125	间接依赖	maven
org.eclipse.jetty:jetty-servlet	7.0.1.v20091125	间接依赖	maven
dom4j:dom4j	1.6.1	间接依赖	maven
org.eclipse.jetty:jetty-http	7.0.1.v20091125	间接依赖	maven
org.slf4j:slf4j-api	2.0.9	间接依赖	maven
xml-apis:xml-apis	1.0.b2	间接依赖	maven
org.slf4j:slf4j-simple	2.0.9	直接依赖	maven
org.eclipse.jetty:jetty-io	7.0.1.v20091125	间接依赖	maven
oro:oro	2.0.7	间接依赖	maven
commons-httpclient:commons-httpclient	2.0	间接依赖	maven
org.eclipse.jetty:jetty-webapp	7.0.1.v20091125	直接依赖	maven
xpp3:xpp3	1.1.4c	直接依赖	maven
org.eclipse.jetty:jetty-util	7.0.1.v20091125	间接依赖	maven
org.igniterealtime.whack:core	2.0.1	直接依赖	maven
javax.servlet:servlet-api	2.5	间接依赖	maven
org.slf4j:slf4j-api	1.5.8	间接依赖	maven
commons-lang:commons-lang	1.0.1	间接依赖	maven
junit:junit	3.8.1	间接依赖	maven
org.gnu.inet:libidn	1.15	间接依赖	maven
net.sourceforge.jweather:jweather	0.3.0	直接依赖	maven
org.eclipse.jetty:jetty-server	7.0.1.v20091125	直接依赖	maven

SBOM 开源软件漏洞

赞 (0)

igalata/Bubble-Picker 软件分析报告

上一篇 2023年10月30日

igormatyushkin014/Visuality 软件分析报告

下一篇 2023年10月30日

cnr-isti-vclab/meshlab 软件分析报告

基础信息项目名称：cnr-isti-vclab/meshlab 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716756070521241600/1716756070890340352 此报告由Murphys…

软件分析 2023年10月24日
00
hons82/THNotesTextView 软件分析报告

基础信息项目名称：hons82/THNotesTextView 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1718648068622647296/1718648068719116288 此报告由Murphys…

软件分析 2023年10月29日
00
codegangsta/martini 软件分析报告

基础信息项目名称：codegangsta/martini 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716772666601160704/1716772666655686656 此报告由Murphysec提…

软件分析 2023年10月24日
00
gasparenovara/ExpandableRows 软件分析报告

基础信息项目名称：gasparenovara/ExpandableRows 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721216639801753600/1726287816614170624 此报告由M…

软件分析 2023年11月20日
00
obsproject/obs-browser 软件分析报告

基础信息项目名称：obsproject/obs-browser 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1755399363502542848/1755399363540291584 此报告由Murphys…

软件分析 2024年2月8日
00