awslabs/aws-deployment-framework 软件分析报告

基础信息

项目名称:awslabs/aws-deployment-framework

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1720819043058122752/1720819043112648704

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
FasterXML jackson-databind 反序列化漏洞(HikariCP gadget绕过) 反序列化 MPS-2019-11529 CVE-2019-14540 严重
FasterXML jackson-databind 反序列化漏洞(HikariCP gadget绕过) 反序列化 MPS-2019-11533 CVE-2019-16335 严重
FasterXML jackson-databind 反序列化漏洞(commons-dbcp gadget绕过) 反序列化 MPS-2019-12479 CVE-2019-16942 严重
FasterXML jackson-databind 反序列化漏洞(p6spy gadget绕过) 反序列化 MPS-2019-12480 CVE-2019-16943 严重
FasterXML jackson-databind 反序列化漏洞(ehcache gadget绕过) 反序列化 MPS-2019-12676 CVE-2019-17267 严重
FasterXML jackson-databind 反序列化漏洞(apache-log4j-extras gadget绕过) 反序列化 MPS-2019-13103 CVE-2019-17531 严重
​ hibernate-validator 存在跨站脚本(XSS)漏洞 XSS MPS-2019-14389 CVE-2019-10219 中危
SnakeYAML 拒绝服务 MPS-2019-16129 CVE-2017-18640 高危
Apache Tomcat 授权问题漏洞 会话固定 MPS-2019-16906 CVE-2019-17563 高危
Apache Tomcat 特权提升漏洞 权限管理不当 MPS-2019-16926 CVE-2019-12418 高危
Apache Tomcat 操作系统命令注入漏洞 OS命令注入 MPS-2019-4006 CVE-2019-0232 高危
FasterXML jackson-databind 反序列化漏洞(mysql gadget绕过) 反序列化 MPS-2019-5442 CVE-2019-12086 高危
Apache Tomcat 跨站脚本漏洞 XSS MPS-2019-5944 CVE-2019-0221 中危
FasterXML jackson-databind 反序列化漏洞(jdom gadget绕过) 反序列化 MPS-2019-6867 CVE-2019-12814 中危
Apache Tomcat 资源管理错误漏洞 加锁机制不恰当 MPS-2019-7027 CVE-2019-10072 高危
FasterXML jackson-databind 反序列化漏洞(logback-classic gadget绕过) 反序列化 MPS-2019-7047 CVE-2019-12384 中危
FasterXML jackson-databind 反序列化漏洞(ehcache gadget绕过) 动态确定对象属性修改的控制不恰当 MPS-2019-8717 CVE-2019-14379 严重
FasterXML jackson-databind 信息泄露漏洞(logback gadget绕过) 反序列化 MPS-2019-8770 CVE-2019-14439 高危
Spring Framework 反序列化 MPS-2020-0057 CVE-2016-1000027 严重
FasterXML jackson-databind反序列化漏洞(net.sf.ehcache gadget绕过) 反序列化 MPS-2020-0063 CVE-2019-20330 严重
Pivotal Spring Framework 下载代码缺少完整性检查 MPS-2020-0902 CVE-2020-5398 高危
FasterXML jackson-databind反序列化漏洞(Anteros-DBCP gadget绕过) 反序列化 MPS-2020-11987 CVE-2020-24616 高危
FasterXML jackson-databind 反序列化漏洞(pastdev gadget绕过) 反序列化 MPS-2020-13151 CVE-2020-24750 高危
Pivotal Spring Framework 反射文件下载 (RFD) 漏洞 路径遍历 MPS-2020-13322 CVE-2020-5421 中危
Apache Tomcat HTTP请求走私漏洞 HTTP请求走私 MPS-2020-15344 CVE-2020-13943 中危
FasterXML jackson-databind 代码问题漏洞 XXE MPS-2020-17358 CVE-2020-25649 高危
Apache Tomcat 信息泄露漏洞 未授权敏感信息泄露 MPS-2020-17486 CVE-2020-17527 高危
FasterXML jackson-databind 反序列化漏洞(commons-dbcp2 gadget绕过) 反序列化 MPS-2020-17696 CVE-2020-35490 高危
FasterXML jackson-databind 反序列化漏洞(commons-dbcp2 gadget绕过) 反序列化 MPS-2020-17697 CVE-2020-35491 高危
FasterXML jackson-databind 反序列化漏洞(glassfish gadget绕过) 反序列化 MPS-2020-18089 CVE-2020-35728 高危
FasterXML jackson-databind 反序列化漏洞(xbean-reflect gadget绕过) 反序列化 MPS-2020-2030 CVE-2020-8840 严重
FasterXML jackson-databind 反序列化漏洞(ignite-jta gadget绕过) 反序列化 MPS-2020-24779 CVE-2020-10650 高危
Apache Tomcat 权限管理不当漏洞 权限管理不当 MPS-2020-2841 CVE-2020-1938 严重
FasterXML jackson-databind 代码问题漏洞 反序列化 MPS-2020-3040 CVE-2020-9546 严重
FasterXML jackson-databind 反序列化漏洞(JtaTransactionConfig gadget绕过) 反序列化 MPS-2020-3041 CVE-2020-9547 严重
FasterXML jackson-databind反序列化漏洞(anteros-core gadget绕过) 反序列化 MPS-2020-3042 CVE-2020-9548 严重
FasterXML jackson-databind 反序列化漏洞(commons-configuration gadget绕过) 反序列化 MPS-2020-3075 CVE-2019-14892 严重
FasterXML Jackson-databind反序列化漏洞(xalan2 gadget绕过) 反序列化 MPS-2020-3094 CVE-2019-14893 严重
FasterXML jackson-databind反序列化漏洞(aries.transaction.jms gadget绕过) 反序列化 MPS-2020-4131 CVE-2020-10672 高危
FasterXML jackson-databind反序列化漏洞(caucho-quercus gadget绕过) 反序列化 MPS-2020-4132 CVE-2020-10673 高危
FasterXML jackson-databind反序列化漏洞(bus-proxy gadget绕过) 反序列化 MPS-2020-4658 CVE-2020-10968 高危
FasterXML jackson-databind反序列化漏洞(javax.swing gadget绕过) 反序列化 MPS-2020-4659 CVE-2020-10969 高危
FasterXML jackson-databind反序列化漏洞(activemq gadget绕过) 反序列化 MPS-2020-4754 CVE-2020-11111 高危
FasterXML jackson-databind反序列化漏洞(commons-proxy gadget绕过) 反序列化 MPS-2020-4755 CVE-2020-11112 高危
FasterXML jackson-databind反序列化漏洞(openjpa gadget绕过) 反序列化 MPS-2020-4756 CVE-2020-11113 高危
FasterXML jackson-databind 反序列化漏洞(spring-aop gadget绕过) 反序列化 MPS-2020-5138 CVE-2020-11619 高危
FasterXML jackson-databind 反序列化漏洞(commons-jelly gadget绕过) 反序列化 MPS-2020-5139 CVE-2020-11620 高危
hibernate-validator 存在输入验证错误漏洞 代码注入 MPS-2020-7077 CVE-2020-10693 中危
Apache Tomcat 远程代码执行漏洞 反序列化 MPS-2020-7626 CVE-2020-9484 高危
FasterXML jackson-databind反序列化漏洞(oracle-aqjms gadget绕过) 反序列化 MPS-2020-8801 CVE-2020-14061 高危
FasterXML jackson-databind反序列化漏洞(xalan2 gadget绕过) 反序列化 MPS-2020-8802 CVE-2020-14062 高危
FasterXML jackson-databind反序列化漏洞(apache drill gadget绕过) 反序列化 MPS-2020-8803 CVE-2020-14060 高危
FasterXML jackson-databind代码问题漏洞(jsecurity gadget绕过) 反序列化 MPS-2020-8911 CVE-2020-14195 高危
Apache Tomcat 拒绝服务漏洞 拒绝服务 MPS-2020-9541 CVE-2020-11996 高危
FasterXML jackson-databind 反序列化漏洞(DBCP gadget绕过) 反序列化 MPS-2021-0202 CVE-2020-36179 高危
FasterXML jackson-databind 反序列化漏洞(DBCP gadget绕过) 反序列化 MPS-2021-0203 CVE-2020-36181 高危
FasterXML jackson-databind 反序列化漏洞(DBCP gadget绕过) 反序列化 MPS-2021-0204 CVE-2020-36180 高危
FasterXML jackson-databind 反序列化漏洞(tomcat-dbcp gadget绕过) 反序列化 MPS-2021-0205 CVE-2020-36182 高危
FasterXML jackson-databind 反序列化漏洞(docx4j gadget绕过) 反序列化 MPS-2021-0206 CVE-2020-36183 高危
FasterXML jackson-databind 反序列化漏洞(tomcat-dbcp gadget绕过) 反序列化 MPS-2021-0207 CVE-2020-36184 高危
FasterXML jackson-databind 反序列化漏洞(tomcat-dbcp gadget绕过) 反序列化 MPS-2021-0208 CVE-2020-36185 高危
FasterXML jackson-databind 反序列化漏洞(naming-factory-dbcp gadget绕过) 反序列化 MPS-2021-0209 CVE-2020-36186 高危
FasterXML jackson-databind 反序列化漏洞(naming-factory-dbcp gadget绕过) 反序列化 MPS-2021-0210 CVE-2020-36187 高危
FasterXML jackson-databind 反序列化漏洞(newrelic-agent gadget绕过) 反序列化 MPS-2021-0211 CVE-2020-36188 高危
FasterXML jackson-databind 反序列化漏洞(newrelic-agent gadget绕过) 反序列化 MPS-2021-0212 CVE-2020-36189 高危
Apache Tomcat 授权问题漏洞 身份验证不当 MPS-2021-10264 CVE-2021-30640 中危
FasterXML jackson-databind 反序列化漏洞(javax.swing gadget绕过) 反序列化 MPS-2021-1625 CVE-2021-20190 高危
Apache Tomcat 信息泄露漏洞 未授权敏感信息泄露 MPS-2021-1722 CVE-2021-24122 中危
Apache Tomcat 信息泄露漏洞 HTTP请求走私 MPS-2021-2309 CVE-2021-25122 高危
Apache Tomcat 远程代码执行漏洞 代码注入 MPS-2021-2466 CVE-2021-25329 高危
Apache Tomcat 拒绝服务漏洞 拒绝服务 MPS-2021-31848 CVE-2021-41079 高危
Quality Open Software logback JNDI注入漏洞 反序列化 MPS-2021-33911 CVE-2021-42550 中危
Apache Tomcat 条件竞争漏洞 竞争条件 MPS-2021-37218 CVE-2021-43980 低危
Spring Framework权限许可和访问控制问题漏洞 权限管理不当 MPS-2021-7485 CVE-2021-22118 高危
Apache Tomcat 环境问题漏洞 HTTP请求走私 MPS-2021-9711 CVE-2021-33037 中危
Vmware Spring Framework 安全漏洞 不加限制或调节的资源分配 MPS-2022-1080 CVE-2022-22950 中危
Pivotal Spring Framework 安全限制绕过漏洞 大小写敏感处理不恰当 MPS-2022-1098 CVE-2022-22968 中危
Spring Framework spring-beans 存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2022-1101 CVE-2022-22970 中危
Logback SSL证书校验不当漏洞 中间人攻击 MPS-2022-12411 中危
com.fasterxml.jackson.core:jackson-databind 存在反序列化漏洞 反序列化 MPS-2022-12433 高危
snakeYAML 拒绝服务 MPS-2022-5144 CVE-2022-25857 高危
snakeYAML 栈缓冲区溢出 MPS-2022-56040 CVE-2022-38751 中危
snakeYAML 栈缓冲区溢出 MPS-2022-56041 CVE-2022-38752 低危
snakeYAML 栈缓冲区溢出 MPS-2022-56051 CVE-2022-38750 中危
snakeYAML 拒绝服务 MPS-2022-56081 CVE-2022-38749 中危
SnakeYAML 栈缓冲区溢出 MPS-2022-58478 CVE-2022-41854 中危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞 拒绝服务 MPS-2022-58653 CVE-2022-42003 中危
FasterXML jackson-databind 小于2.13.4拒绝服务漏洞 拒绝服务 MPS-2022-58654 CVE-2022-42004 中危
FasterXML jackson-databind 拒绝服务漏洞 越界写入 MPS-2022-6242 CVE-2020-36518 高危
Spring Expression 存在拒绝服务漏洞 拒绝服务 MPS-2022-62835 CVE-2023-20863 高危
Spring Boot 欢迎页功能拒绝服务风险 拒绝服务 MPS-2022-62855 CVE-2023-20883 高危
spring-boot 将资源暴露给错误范围 MPS-2022-6780 CVE-2022-27772 高危
spring-beans 远程代码执行漏洞(Spring4Shell) 表达式语言注入 MPS-2022-6820 CVE-2022-22965 严重
snakeYAML 反序列化 MPS-2022-9425 CVE-2022-1471 高危
ejs 存在服务端模板注入漏洞 注入 MPS-2023-10199 CVE-2023-29827 严重
Apache Tomcat http请求走私漏洞 输入验证不恰当 MPS-b5of-dwyh CVE-2023-45648 中危
Apache Tomcat 安全漏洞 清理环节不完整 MPS-hz9y-jtfe CVE-2023-42795 中危
Apache Tomcat FORM 重定向漏洞 跨站重定向 MPS-uy56-j8e4 CVE-2023-41080 低危
【存在争议】FasterXML jackson-databind 代码问题漏洞 不加限制或调节的资源分配 MPS-z1bx-p8y2 CVE-2023-35116 中危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
org.apache.tomcat.embed:tomcat-embed-core 9.0.17 9.0.81 间接依赖 强烈建议修复
org.yaml:snakeyaml 1.23 2.0 间接依赖 建议修复
com.fasterxml.jackson.core:jackson-databind 2.9.8 间接依赖 建议修复
ejs 3.1.7 直接依赖 建议修复
org.springframework.boot:spring-boot 2.1.4.RELEASE 2.2.11.RELEASE 间接依赖 建议修复
ch.qos.logback:logback-core 1.2.3 1.2.8 间接依赖 建议修复
org.springframework:spring-context 5.1.6.RELEASE 5.2.21.RELEASE 间接依赖 建议修复
org.springframework:spring-beans 5.1.6.RELEASE 5.2.22.RELEASE 间接依赖 建议修复
org.springframework:spring-web 5.1.6.RELEASE 6.0.0 间接依赖 建议修复
org.hibernate.validator:hibernate-validator 6.0.16.Final 6.0.19.Final 间接依赖 可选修复
org.springframework:spring-expression 5.1.6.RELEASE 5.2.24 间接依赖 可选修复
org.springframework.boot:spring-boot-autoconfigure 2.1.4.RELEASE 2.5.15 间接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
MIT 62
LGPL-2.1-or-later 1
Apache-2.0 39
ISC 3
自定义许可证 3
BSD-3-Clause 2
GPL-2.0-or-later 1
EPL-1.0 2
GPL-3.0-only 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
negotiator 0.6.3 间接依赖 npm
fresh 0.5.2 间接依赖 npm
astroid 2.15.6 间接依赖 pip
statuses 1.5.0 间接依赖 npm
filelist 1.0.4 间接依赖 npm
unpipe 1.0.0 间接依赖 npm
ipaddr.js 1.9.1 间接依赖 npm
escape-html 1.0.3 间接依赖 npm
send 0.17.2 间接依赖 npm
org.springframework:spring-expression 5.1.6.RELEASE 间接依赖 maven
s3 3.0.0 间接依赖 pip
destroy 1.0.4 间接依赖 npm
content-disposition 0.5.4 间接依赖 npm
merge-descriptors 1.0.1 间接依赖 npm
color-convert 2.0.1 间接依赖 npm
org.springframework:spring-context 5.1.6.RELEASE 间接依赖 maven
depd 1.1.2 间接依赖 npm
raw-body 2.4.3 间接依赖 npm
org.slf4j:jul-to-slf4j 1.7.26 间接依赖 maven
array-flatten 1.1.1 间接依赖 npm
ee-first 1.1.1 间接依赖 npm
pytest-cov 3.0.0 间接依赖 pip
setprototypeof 1.2.0 间接依赖 npm
mock 5.1.0 间接依赖 pip
qs 6.9.7 间接依赖 npm
com.fasterxml.jackson.module:jackson-module-parameter-names 2.9.8 间接依赖 maven
encodeurl 1.0.2 间接依赖 npm
crhelper 间接依赖 pip
pylint 2.17.4 间接依赖 pip
ansi-styles 4.3.0 间接依赖 npm
http-errors 1.8.1 间接依赖 npm
brace-expansion 2.0.1 间接依赖 npm
org.springframework:spring-aop 5.1.6.RELEASE 间接依赖 maven
boto3 1.28.8 间接依赖 pip
tox 3.28.0 间接依赖 pip
vary 1.1.2 间接依赖 npm
tenacity 8.2.2 间接依赖 pip
com.fasterxml.jackson.datatype:jackson-datatype-jdk8 2.9.8 间接依赖 maven
javax.validation:validation-api 2.0.1.Final 间接依赖 maven
Jinja2 3.1.2 间接依赖 pip
org.springframework.boot:spring-boot 2.1.4.RELEASE 间接依赖 maven
isort 5.12.0 间接依赖 pip
methods 1.1.2 间接依赖 npm
org.springframework.boot:spring-boot-starter-json 2.1.4.RELEASE 间接依赖 maven
inherits 2.0.4 间接依赖 npm
supports-color 7.2.0 间接依赖 npm
proxy-addr 2.0.7 间接依赖 npm
ch.qos.logback:logback-classic 1.2.3 间接依赖 maven
org.springframework.boot:spring-boot-starter 2.1.4.RELEASE 间接依赖 maven
forwarded 0.2.0 间接依赖 npm
safer-buffer 2.1.2 间接依赖 npm
concat-map 0.0.1 直接依赖 npm
com.fasterxml.jackson.core:jackson-databind 2.9.8 间接依赖 maven
org.yaml:snakeyaml 1.23 间接依赖 maven
com.fasterxml.jackson.datatype:jackson-datatype-jsr310 2.9.8 间接依赖 maven
color-name 1.1.4 间接依赖 npm
has-flag 4.0.0 间接依赖 npm
ms 2.0.0 间接依赖 npm
parseurl 1.3.3 间接依赖 npm
schema 0.7.5 间接依赖 pip
org.springframework.boot:spring-boot-autoconfigure 2.1.4.RELEASE 间接依赖 maven
etag 1.8.1 间接依赖 npm
ch.qos.logback:logback-core 1.2.3 间接依赖 maven
async 3.2.4 间接依赖 npm
path-to-regexp 0.1.7 间接依赖 npm
iconv-lite 0.4.24 间接依赖 npm
range-parser 1.2.1 间接依赖 npm
org.springframework:spring-beans 5.1.6.RELEASE 间接依赖 maven
cfn-lint 0.78.2 间接依赖 pip
ejs 3.1.7 直接依赖 npm
chalk 4.1.2 间接依赖 npm
org.apache.tomcat.embed:tomcat-embed-websocket 9.0.17 间接依赖 maven
argparse 1.4.0 间接依赖 pip
org.jboss.logging:jboss-logging 3.3.2.Final 间接依赖 maven
awscli 1.29.8 间接依赖 pip
balanced-match 1.0.2 间接依赖 npm
org.apache.logging.log4j:log4j-to-slf4j 2.11.2 间接依赖 maven
on-finished 2.3.0 间接依赖 npm
mime-types 2.1.35 间接依赖 npm
com.fasterxml.jackson.core:jackson-core 2.9.8 间接依赖 maven
bytes 3.1.2 间接依赖 npm
botocore 1.31.8 间接依赖 pip
markupsafe 2.1.3 间接依赖 pip
cookie-signature 1.0.6 间接依赖 npm
utils-merge 1.0.1 间接依赖 npm
org.springframework.boot:spring-boot-starter-logging 2.1.4.RELEASE 间接依赖 maven
content-type 1.0.4 间接依赖 npm
minimatch 3.1.2 间接依赖 npm
safe-buffer 5.2.1 间接依赖 npm
org.apache.logging.log4j:log4j-api 2.11.2 间接依赖 maven
org.apache.tomcat.embed:tomcat-embed-core 9.0.17 间接依赖 maven
aws-sam-cli 1.93.0 间接依赖 pip
org.hibernate.validator:hibernate-validator 6.0.16.Final 间接依赖 maven
org.springframework:spring-web 5.1.6.RELEASE 间接依赖 maven
express 4.17.3 直接依赖 npm
org.springframework:spring-webmvc 5.1.6.RELEASE 间接依赖 maven
media-typer 0.3.0 间接依赖 npm
Mock 间接依赖 pip
patch 间接依赖 pip
finalhandler 1.1.2 间接依赖 npm
aws-xray-sdk 2.12.0 间接依赖 pip
org.springframework.boot:spring-boot-starter-web 2.1.4.RELEASE 直接依赖 maven
type-is 1.6.18 间接依赖 npm
org.apache.tomcat.embed:tomcat-embed-el 9.0.17 间接依赖 maven
toidentifier 1.0.1 间接依赖 npm
javax.annotation:javax.annotation-api 1.3.2 间接依赖 maven
mime-db 1.52.0 间接依赖 npm
debug 2.6.9 间接依赖 npm
jake 10.8.5 间接依赖 npm
cookie 0.4.2 间接依赖 npm
yamllint 1.32.0 间接依赖 pip
com.fasterxml.jackson.core:jackson-annotations 2.9.0 间接依赖 maven
mime 1.6.0 间接依赖 npm
com.fasterxml:classmate 1.4.0 间接依赖 maven
accepts 1.3.8 间接依赖 npm
body-parser 1.19.2 间接依赖 npm
serve-static 1.14.2 间接依赖 npm
org.springframework.boot:spring-boot-starter-tomcat 2.1.4.RELEASE 间接依赖 maven
(0)
上一篇 2023年11月4日
下一篇 2023年11月4日

相关推荐

  • ixrjog/opscloud4 软件分析报告

    基础信息 项目名称:ixrjog/opscloud4 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1718925743241166848/1718925743694151680 此报告由Murphysec提供 漏…

    软件分析 2023年10月30日
    0
  • apiiro/combobulator 软件分析报告

    基础信息 项目名称:apiiro/combobulator 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1715963880584904704/1715963880635236352 此报告由Murphysec提…

    软件分析 2023年10月23日
    0
  • APIs-guru/openapi-directory 软件分析报告

    基础信息 项目名称:APIs-guru/openapi-directory 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1715965149659660288/1715965149785489408 此报告由Mu…

    软件分析 2023年10月23日
    0
  • in-toto/in-toto 软件分析报告

    基础信息 项目名称:in-toto/in-toto 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1718804397316243456/1718804397643399168 此报告由Murphysec提供 漏洞…

    软件分析 2023年10月30日
    0
  • aszxqw/nodejieba 软件分析报告

    基础信息 项目名称:aszxqw/nodejieba 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1716094994178949120/1716094995747618816 此报告由Murphysec提供 漏…

    软件分析 2023年10月23日
    0