1. 墨知首页
  2. 软件分析

jphp-group/jphp 软件分析报告

软件分析
目录 隐藏
1 基础信息
2 漏洞列表
3 缺陷组件
4 许可证风险
5 SBOM清单

基础信息

项目名称:jphp-group/jphp

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1719270785356185600/1719270785666564096

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
低危
Eclipse Jetty 输入验证错误漏洞 拒绝服务 MPS-0e59-bdsi CVE-2023-36478 高危
Apache Commons Email 输入验证不当漏洞 输入验证不恰当 MPS-2017-8525 CVE-2017-9801 高危
zt-zip 路径遍历 MPS-2018-10406 CVE-2018-1002201 中危
PostgreSQL JDBC 对宿主不匹配的证书验证不恰当 MPS-2018-11656 CVE-2018-10936 高危
Oracle MySQL Connectors 访问控制错误漏洞 使用候选路径或通道进行的认证绕过 MPS-2018-13771 CVE-2018-3258 高危
Apache Commons-Email 未授权敏感信息泄露 MPS-2018-3438 CVE-2018-1294 高危
SnakeYAML 拒绝服务 MPS-2019-16129 CVE-2017-18640 高危
Oracle MySQL Connectors 输入验证错误漏洞 使用不兼容类型访问资源(类型混淆) MPS-2019-4430 CVE-2019-2692 中危
Eclipse Jetty 验证凭据泄露漏洞 在过期或释放后对资源进行操作 MPS-2020-10038 CVE-2019-17638 严重
Eclipse Jetty HTTP 请求走私漏洞 在释放前未清除敏感信息 MPS-2020-17594 CVE-2020-27218 中危
mysql:mysql-connector-java XXE MPS-2020-38350 CVE-2021-2471 中危
PgJDBC XXE MPS-2020-8204 CVE-2020-13692 高危
Apache Commons Compress 安存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2021-10550 CVE-2021-35517 高危
Apache Commons Compress 存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2021-10551 CVE-2021-35516 高危
Apache Commons Compress 存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2021-10564 CVE-2021-36090 高危
Apache Commons Compress 无限循环漏洞 不可达退出条件的循环(无限循环) MPS-2021-10565 CVE-2021-35515 高危
jsoup 不可达退出条件的循环(无限循环) MPS-2021-17634 CVE-2021-37714 高危
MongoDB Java 驱动程序客户端证书验证不当漏洞 证书验证不恰当 MPS-2021-2219 CVE-2021-20328 中危
Eclipse Jetty 拒绝服务 MPS-2021-2571 CVE-2020-27223 中危
Oracle MySQL 的 MySQL Connectors 存在授权不当漏洞 授权机制不恰当 MPS-2021-36587 CVE-2022-21363 中危
quarkus 远程代码执行漏洞 初始化不恰当 MPS-2021-37082 CVE-2022-21724 高危
Eclipse Jetty 资源管理错误漏洞 对异常条件的处理不恰当 MPS-2021-3864 CVE-2021-28165 高危
Bouncy Castle 私钥信息泄露漏洞 竞争条件 MPS-2021-7064 CVE-2020-15522 中危
Eclipse Jetty 存在信息泄露漏洞 不充分的会话过期机制 MPS-2021-8884 CVE-2021-34428 低危
PostgreSQL JDBC 存在 SQL 注入漏洞 SQL注入 MPS-2022-11227 CVE-2022-31197 高危
commons-codec:commons-codec 存在信息泄露漏洞 未授权敏感信息泄露 MPS-2022-11853 低危
com.google.code.gson:gson 存在BigDecimal拒绝服务漏洞 反序列化 MPS-2022-12287 CVE-2022-25647 高危
Eclipse Jetty URI注入漏洞 注入 MPS-2022-18060 CVE-2022-2047 低危
snakeYAML 拒绝服务 MPS-2022-5144 CVE-2022-25857 高危
jsoup XSS MPS-2022-51547 CVE-2022-36033 中危
Bouncy Castle 密码学问题 MPS-2022-54305 中危
snakeYAML 栈缓冲区溢出 MPS-2022-56040 CVE-2022-38751 中危
snakeYAML 栈缓冲区溢出 MPS-2022-56041 CVE-2022-38752 低危
snakeYAML 栈缓冲区溢出 MPS-2022-56051 CVE-2022-38750 中危
snakeYAML 拒绝服务 MPS-2022-56081 CVE-2022-38749 中危
postgresql 代码注入 MPS-2022-5828 CVE-2022-26520 严重
SnakeYAML 栈缓冲区溢出 MPS-2022-58478 CVE-2022-41854 中危
pgjdbc 不安全的临时文件 MPS-2022-58583 CVE-2022-41946 中危
snakeYAML 反序列化 MPS-2022-9425 CVE-2022-1471 高危
Eclipse Jetty 资源管理错误漏洞 拒绝服务 MPS-2023-4997 CVE-2023-26048 中危
Eclipse Jetty 信息泄露漏洞 XSS MPS-2023-4998 CVE-2023-26049 中危
Eclipse Jetty 安全漏洞 MPS-49ot-3w07 CVE-2023-40167 中危
Bouncy Castle 信任管理问题漏洞 证书验证不恰当 MPS-i6w7-d48e CVE-2023-33201 中危
SQLite JDBC 远程代码执行漏洞 代码注入 MPS-zprx-hdwf CVE-2023-32697 高危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
org.eclipse.jetty:jetty-http 9.4.28.v20200408 11.0.16 直接依赖 建议修复
org.postgresql:postgresql 42.2.2 42.3.8 直接依赖 建议修复
org.eclipse.jetty:jetty-server 9.4.28.v20200408 9.4.51 直接依赖 建议修复
org.eclipse.jetty:jetty-io 9.4.28.v20200408 9.4.39.v20210325 间接依赖 建议修复
mysql:mysql-connector-java 5.1.46 8.0.28 直接依赖 建议修复
org.apache.commons:commons-email 1.3.3 1.5 直接依赖 建议修复
org.apache.commons:commons-compress 1.20 1.21 直接依赖 建议修复
org.xerial:sqlite-jdbc 3.21.0.1 3.41.2.2 直接依赖 建议修复
org.xerial:sqlite-jdbc 3.8.7 3.41.2.2 直接依赖 建议修复
org.yaml:snakeyaml 1.25 2.0 直接依赖 建议修复
org.zeroturnaround:zt-zip 1.11 1.13 直接依赖 可选修复
org.bouncycastle:bcprov-jdk15on 1.64 直接依赖 可选修复
org.eclipse.jgit:org.eclipse.jgit 5.6.1.202002131546-r 6.6.1.202309021850-r 直接依赖 可选修复
org.jsoup:jsoup 1.12.2 1.15.3 直接依赖 可选修复
commons-codec:commons-codec 1.10 1.13 直接依赖 可选修复
com.google.code.gson:gson 2.7 2.8.9 直接依赖 可选修复
org.mongodb:mongodb-driver 3.12.1 3.12.8 直接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
自定义许可证 20
BSD-3-Clause 5
BSD-2-Clause 13
Apache-2.0 33
MIT 7
CDDL-1.0 1
LGPL-2.1 3
MPL-1.1 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
org.eclipse.jgit:org.eclipse.jgit 5.6.1.202002131546-r 直接依赖 maven
org.firebirdsql.jdbc:jaybird-jdk18 3.0.1 直接依赖 maven
javax.mail:mail 1.4.5 直接依赖 maven
org.ow2.asm:asm-util 7.3.1 直接依赖 maven
net.java.jutils:jutils 1.0.0 间接依赖 maven
::exts:jphp-parser-ext 直接依赖 maven
::exts:jphp-httpclient-ext 直接依赖 maven
com.vladsch.flexmark:flexmark 0.32.22 直接依赖 maven
org.ow2.asm:asm-tree 7.3.1 直接依赖 maven
::exts:jphp-git-ext 直接依赖 maven
org.eclipse.jetty.websocket:websocket-server 9.4.28.v20200408 直接依赖 maven
KERNEL32.dll 间接依赖
com.google.code.gson:gson 2.7 直接依赖 maven
org.slf4j:slf4j-api 1.6.6 直接依赖 maven
org.eclipse.jetty.websocket:websocket-api 9.4.28.v20200408 间接依赖 maven
org.jcraft:jorbis 0.0.17 直接依赖 maven
org.apache.commons:commons-email 1.3.3 直接依赖 maven
org.postgresql:postgresql 42.2.2 直接依赖 maven
org.eclipse.jetty:jetty-security 9.4.28.v20200408 直接依赖 maven
com.googlecode.javaewah:JavaEWAH 1.1.6 直接依赖 maven
::exts:jphp-compress-ext 直接依赖 maven
org.zeroturnaround:zt-zip 1.11 直接依赖 maven
com.vladsch.flexmark:flexmark-util 0.32.22 间接依赖 maven
org.eclipse.jetty.websocket:websocket-common 9.4.28.v20200408 直接依赖 maven
org.nibor.autolink:autolink 0.6.0 间接依赖 maven
::exts:jphp-zend-ext 直接依赖 maven
::exts:jphp-text-ext 直接依赖 maven
org.slf4j:slf4j-api 1.7.2 直接依赖 maven
com.vladsch.flexmark:flexmark-ext-tables 0.32.22 直接依赖 maven
::exts:jphp-json-ext 直接依赖 maven
javax.servlet:javax.servlet-api 3.1.0 间接依赖 maven
org.ow2.asm:asm-commons 7.3.1 直接依赖 maven
com.vladsch.flexmark:flexmark-ext-ins 0.32.22 间接依赖 maven
::exts:jphp-yaml-ext 直接依赖 maven
com.badlogicgames.gdx:gdx 1.9.8 直接依赖 maven
mysql:mysql-connector-java 5.1.46 直接依赖 maven
org.bouncycastle:bcpkix-jdk15on 1.64 直接依赖 maven
com.vladsch.flexmark:flexmark-ext-anchorlink 0.32.22 直接依赖 maven
libc.so.1 间接依赖
org.apache.commons:commons-compress 1.20 直接依赖 maven
javax.activation:activation 1.1.1 直接依赖 maven
com.jcraft:jsch 0.1.54 直接依赖 maven
com.zaxxer:HikariCP-java6 2.3.7 直接依赖 maven
com.badlogicgames.jlayer:jlayer 1.0.1-gdx 直接依赖 maven
org.lwjgl.lwjgl:lwjgl-platform 2.9.2 间接依赖 maven
org.eclipse.jetty:jetty-client 9.4.28.v20200408 间接依赖 maven
org.bouncycastle:bcpg-jdk15on 1.64 直接依赖 maven
net.java.jinput:jinput-platform 2.0.5 间接依赖 maven
org.eclipse.jetty.websocket:websocket-servlet 9.4.28.v20200408 直接依赖 maven
commons-codec:commons-codec 1.10 直接依赖 maven
org.lwjgl.lwjgl:lwjgl 直接依赖 maven
org.javassist:javassist 3.19.0-GA 直接依赖 maven
::exts:jphp-httpserver-ext 直接依赖 maven
net.java.dev.jna:jna 4.4.0 直接依赖 maven
org.eclipse.jetty:jetty-servlet 9.4.28.v20200408 直接依赖 maven
org.eclipse.jetty.websocket:websocket-client 9.4.28.v20200408 直接依赖 maven
com.vladsch.flexmark:flexmark-ext-emoji 0.32.22 直接依赖 maven
org.eclipse.jetty:jetty-http 9.4.28.v20200408 直接依赖 maven
com.vladsch.flexmark:flexmark-ext-superscript 0.32.22 直接依赖 maven
PSAPI.DLL 间接依赖
:No dependencies 直接依赖 maven
org.eclipse.jetty:jetty-util 9.4.28.v20200408 间接依赖 maven
org.slf4j:slf4j-api 1.7.10 直接依赖 maven
org.mongodb:mongodb-driver-core 3.12.1 直接依赖 maven
::exts:jphp-gdx-ext 直接依赖 maven
org.lwjgl.lwjgl:lwjgl 2.9.2 直接依赖 maven
::exts:jphp-jsoup-ext 直接依赖 maven
org.mongodb:mongodb-driver 3.12.1 直接依赖 maven
com.vdurmont:semver4j 2.2.0 直接依赖 maven
com.jcraft:jsch 0.1.55 直接依赖 maven
org.mongodb:bson 3.12.1 直接依赖 maven
com.vladsch.flexmark:flexmark-ext-gfm-strikethrough 0.32.22 直接依赖 maven
org.eclipse.jetty:jetty-io 9.4.28.v20200408 间接依赖 maven
com.vladsch.flexmark:flexmark-jira-converter 0.32.22 间接依赖 maven
org.ow2.asm:asm-analysis 7.3.1 直接依赖 maven
org.apache.commons:commons-text 1.3 直接依赖 maven
libc.so.7 间接依赖
com.jcraft:jzlib 1.1.1 直接依赖 maven
org.xerial:sqlite-jdbc 3.21.0.1 直接依赖 maven
net.java.jinput:jinput 2.0.5 间接依赖 maven
org.apache.commons:commons-lang3 3.7 直接依赖 maven
com.vladsch.flexmark:flexmark-ext-autolink 0.32.22 直接依赖 maven
com.badlogicgames.gdx:gdx-platform 1.9.8 直接依赖 maven
org.bouncycastle:bcprov-jdk15on 1.64 直接依赖 maven
org.eclipse.jetty:jetty-xml 9.4.28.v20200408 间接依赖 maven
org.antlr:antlr4-runtime 4.7 间接依赖 maven
libc.so.6 间接依赖
org.jsoup:jsoup 1.12.2 直接依赖 maven
::exts:jphp-semver-ext 直接依赖 maven
org.ow2.asm:asm 7.3.1 直接依赖 maven
org.xerial:sqlite-jdbc 3.8.7 直接依赖 maven
org.yaml:snakeyaml 1.25 直接依赖 maven
::jphp-core 直接依赖 maven
javax.resource:connector-api 1.5 间接依赖 maven
::jphp-runtime 直接依赖 maven
com.badlogicgames.gdx:gdx-backend-lwjgl 1.9.8 直接依赖 maven
org.eclipse.jetty:jetty-server 9.4.28.v20200408 直接依赖 maven
org.slf4j:slf4j-simple 1.7.2 直接依赖 maven
com.vladsch.flexmark:flexmark-formatter 0.32.22 间接依赖 maven
com.vladsch.flexmark:flexmark-ext-wikilink 0.32.22 间接依赖 maven
(0)
上一篇 2023年10月31日
下一篇 2023年10月31日

相关推荐

  • facebook/jest 软件分析报告

    基础信息 项目名称:facebook/jest 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721180348636794880/1730891466458750976 此报告由Murphysec提供 漏洞列表…

    软件分析 2023年12月2日
    0

  • namhyung/uftrace 软件分析报告

    基础信息 项目名称:namhyung/uftrace 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1744152169540829184/1744152174154563584 此报告由Murphysec提供 漏…

    软件分析 2024年1月8日
    0

  • aliyun/aliyun-openapi-php-sdk 软件分析报告

    基础信息 项目名称:aliyun/aliyun-openapi-php-sdk 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1715717570027978752/1715717570090893312 此报告由…

    软件分析 2023年10月23日
    0

  • lakesoft/LKbadgeView 软件分析报告

    基础信息 项目名称:lakesoft/LKbadgeView 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1719631170807398400/1719631170887090176 此报告由Murphysec…

    软件分析 2023年11月1日
    0

  • JetBrains/la-clojure 软件分析报告

    基础信息 项目名称:JetBrains/la-clojure 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721305521318297600/1729737296705441792 此报告由Murphysec…

    软件分析 2023年11月29日
    0