CasparCG/Client 软件分析报告

2023年11月5日下午3:08 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：CasparCG/Client

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1721060483145924608/1721060483192061952

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
Boost库 ‘regex/v4/perl_matcher_non_recursive.hpp’远程拒绝服务漏洞	输入验证不恰当	MPS-2008-0304	CVE-2008-0171	中危
Boost库 ‘basic_regex_creator.hpp’拒绝服务漏洞	输入验证不恰当	MPS-2008-0305	CVE-2008-0172	中危
Digia Qt QXmlSimpleReader类输入验证错误漏洞	输入验证不恰当	MPS-2013-5109	CVE-2013-4549	中危
libpng png_do_expand_palette 函数空指针逆向引用拒绝服务漏洞	拒绝服务	MPS-2014-0128	CVE-2013-6954	中危
libpng png_push_read_chunk 函数安全漏洞	数字错误	MPS-2014-0977	CVE-2014-0333	中危
libpng 整数溢出漏洞	数字错误	MPS-2014-2273	CVE-2013-7353	中危
libpng 数字错误漏洞	数字错误	MPS-2014-2274	CVE-2013-7354	中危
Digia Qt拒绝服务漏洞	空指针取消引用	MPS-2014-2333	CVE-2014-0190	中危
Lua 缓冲区溢出漏洞	缓冲区溢出	MPS-2014-4296	CVE-2014-5461	中危
libgcrypt 信息泄露漏洞	未授权敏感信息泄露	MPS-2014-5640	CVE-2014-5270	低危
libpng 基于堆的缓冲区溢出漏洞	缓冲区溢出	MPS-2015-0181	CVE-2014-9495	严重
libpng 基于堆的缓冲区溢出漏洞	缓冲区溢出	MPS-2015-0388	CVE-2015-0973	高危
Digia Qt QtBase模块缓冲区错误漏洞	缓冲区溢出	MPS-2015-2233	CVE-2015-1858	中危
Digia QtQtBase模块缓冲区错误漏洞	缓冲区溢出	MPS-2015-2234	CVE-2015-1859	中危
Digia Qt QtBase模块缓冲区错误漏洞	缓冲区溢出	MPS-2015-2235	CVE-2015-1860	中危
libpng 缓冲区错误漏洞	经典缓冲区溢出	MPS-2015-5791	CVE-2015-8126	高危
libpng 缓冲区错误漏洞	缓冲区溢出	MPS-2016-0563	CVE-2015-8472	高危
libpng pngwutil.c 整数溢出漏洞	数字错误	MPS-2016-1691	CVE-2015-8540	高危
Libgcrypt 安全漏洞	未授权敏感信息泄露	MPS-2016-1784	CVE-2015-7511	低危
Android libpng 提权漏洞	输入验证不恰当	MPS-2016-3291	CVE-2016-3751	高危
GNU Libgcrypt和GnuPG 可预测随机数生成漏洞	未授权敏感信息泄露	MPS-2016-6120	CVE-2016-6313	中危
libpng 安全漏洞	空指针取消引用	MPS-2017-1020	CVE-2016-10087	高危
Libgcrypt 安全漏洞	未授权敏感信息泄露	MPS-2017-6334	CVE-2017-9526	中危
Libgcrypt 信息泄露漏洞	未授权敏感信息泄露	MPS-2017-9741	CVE-2017-0379	高危
Google Chrome V8引擎和Digia Qt QtWebEngineCore 安全漏洞	缓冲区溢出	MPS-2018-0277	CVE-2015-1290	高危
Libgcrypt 加密问题漏洞	密码学问题	MPS-2018-10421	CVE-2017-7526	中危
GNU Libgcrypt 加密问题漏洞	密码算法不安全	MPS-2018-1523	CVE-2018-6829	高危
Digia Qt 代码问题漏洞	空指针取消引用	MPS-2018-16329	CVE-2018-19870	高危
Digia Qt 资源管理错误漏洞	拒绝服务	MPS-2018-16330	CVE-2018-19871	中危
Digia Qt 缓冲区错误漏洞	缓冲区溢出	MPS-2018-16331	CVE-2018-19873	严重
Digia Qt 输入验证错误漏洞	输入验证不恰当	MPS-2018-16491	CVE-2018-19869	中危
Libgcrypt 信息泄露漏洞	通过差异性导致的信息暴露	MPS-2018-7926	CVE-2018-0495	中危
LibTomCrypt 安全漏洞	未授权敏感信息泄露	MPS-2018-8008	CVE-2018-12437	中危
libpng 数字错误漏洞	除零错误	MPS-2018-9315	CVE-2018-13785	中危
libpng 安全漏洞	输入验证不恰当	MPS-2018-9648	CVE-2018-14048	中危
Lua 资源管理错误漏洞	UAF	MPS-2019-0958	CVE-2019-6706	高危
libpng 资源管理错误漏洞	UAF	MPS-2019-1241	CVE-2019-7317	中危
GnuPG和Libgcrypt 信息泄露漏洞	未授权敏感信息泄露	MPS-2019-15669	CVE-2014-3591	中危
GnuPG和Libgcrypt 信息泄露漏洞	通过差异性导致的信息暴露	MPS-2019-15670	CVE-2015-0837	中危
Qt 数字错误漏洞	除零错误	MPS-2019-2689	CVE-2018-19872	中危
libpng 缓冲区错误漏洞	越界写入	MPS-2019-7748	CVE-2018-14550	高危
libpng 输入验证错误漏洞	输入验证不恰当	MPS-2019-7770	CVE-2017-12652	严重
Lua 资源管理错误漏洞	越界写入	MPS-2020-10733	CVE-2020-15888	高危
Lua 缓冲区错误漏洞	越界读取	MPS-2020-10734	CVE-2020-15889	严重
Lua 安全漏洞		MPS-2020-10861	CVE-2020-15945	中危
Qt 缓冲区错误漏洞	越界读取	MPS-2020-11445	CVE-2020-17507	中危
Lua 缓冲区错误漏洞	缓冲区溢出	MPS-2020-11559	CVE-2020-24342	高危
Lua 代码问题漏洞	空指针取消引用	MPS-2020-11623	CVE-2020-24369	高危
Lua 数字错误漏洞	超界折返	MPS-2020-11624	CVE-2020-24370	中危
Lua 安全漏洞	对无效指针或索引的释放	MPS-2020-11625	CVE-2020-24371	中危
qt Library 代码问题漏洞	不可信的搜索路径	MPS-2020-12933	CVE-2020-0570	高危
Digia Qt 资源管理错误漏洞	不加限制或调节的资源分配	MPS-2020-3029	CVE-2018-21035	高危
Digia Qt 资源管理错误漏洞	UAF	MPS-2020-6641	CVE-2020-12267	严重
Digia Qt和Mumble 安全漏洞	未经检查的错误条件	MPS-2020-8355	CVE-2020-13962	高危
Libgcrypt 缓冲区错误漏洞	越界写入	MPS-2021-1049	CVE-2021-3345	高危
Qt QLibrary 缓冲区错误漏洞	越界写入	MPS-2021-16565	CVE-2021-38593	高危
Libgcrypt 加密问题漏洞	密码算法不安全	MPS-2021-31269	CVE-2021-40528	中危
Lua 缓冲区错误漏洞	未经控制的递归	MPS-2021-35333	CVE-2021-43519	中危
Lua 安全漏洞	UAF	MPS-2021-38463	CVE-2021-44964	中危
Libgcrypt 安全漏洞	通过差异性导致的信息暴露	MPS-2021-7953	CVE-2021-33560	高危
Lua 安全漏洞	越界写入	MPS-2022-0033	CVE-2021-45985	高危
Lua 安全漏洞	越界写入	MPS-2022-18230	CVE-2022-33099	高危
libpng 缓冲区错误漏洞	经典缓冲区溢出	MPS-2022-2557	CVE-2021-4214	中危
Qt 安全漏洞	路径遍历	MPS-2022-4762	CVE-2022-25634	高危
libpng 代码问题漏洞	空指针取消引用	MPS-2022-63559	CVE-2022-3857	中危
Lua 缓冲区错误漏洞	越界读取	MPS-2022-7875	CVE-2022-28805	严重
Qt 安全漏洞	不可达退出条件的循环（无限循环）	MPS-e6af-vlzn	CVE-2023-38197	高危
Qt 安全漏洞		MPS-v6zh-ckos	CVE-2023-32762	中危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
qt	4.8.5	6.2.10	间接依赖	建议修复
libpng	1.5.10		间接依赖	建议修复
libpng	1.6.37		间接依赖	建议修复
libpng	1.6.3		间接依赖	建议修复
qt	5.14.2	6.2.10	间接依赖	建议修复
lua	5.1.4		间接依赖	建议修复
libgcrypt	1.5.3		间接依赖	建议修复
boost	1.69.0		间接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
WxWindows-exception-3.1	1	低
LGPL-2.1-only	1	低
LGPL-3.0	2	中
MIT	5	低
FTL	1	低
GPL-2.0	1	中
BSL-1.0	2	低
Apache-2.0	1	低
BSD-2-Clause	1	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
IMM32.dll		间接依赖
Qt5Network.dll		间接依赖
ld-linux-x86-64.so.2		间接依赖
openscenegraph	3.6.5	间接依赖
libgcc_s.so.1		间接依赖
libQt5Network.so.5		间接依赖
libwinpthread-1.dll		间接依赖
MPR.dll		间接依赖
@executable_path/../Frameworks/BGHUDAppKit.framework/Versions/A/BGHUDAppKit		间接依赖
/System/Library/Frameworks/QuartzCore.framework/Versions/A/QuartzCore		间接依赖
libboost_filesystem-gcc-1_57.so.1.57.0		间接依赖
libboost_system-gcc-1_57.so.1.57.0		间接依赖
libboost_context-gcc-mt-1_57.so.1.57.0		间接依赖
/usr/lib/libstdc++.6.dylib		间接依赖
libboost_filesystem.dylib		间接依赖
/System/Library/Frameworks/Security.framework/Versions/A/Security		间接依赖
libgssapi_krb5.so.2		间接依赖
IPHLPAPI.DLL		间接依赖
libboost_thread-mgw73-mt-1_57.dll		间接依赖
libicuuc.so.56		间接依赖
ADVAPI32.dll		间接依赖
/System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation		间接依赖
/System/Library/Frameworks/Foundation.framework/Versions/C/Foundation		间接依赖
/usr/lib/libiconv.2.dylib		间接依赖
libboost_serialization.dylib		间接依赖
qt	5.14.2	间接依赖
libboost_regex-mgw73-mt-1_57.dll		间接依赖
OPENGL32.dll		间接依赖
libpng	1.5.10	间接依赖
libwayland-egl.so.1		间接依赖
libicui18n.so.56		间接依赖
libQt5Sql.so.5		间接依赖
dxgi.dll		间接依赖
Qt5Core.dll		间接依赖
libxkbcommon		间接依赖
/usr/lib/libobjc.A.dylib		间接依赖
/System/Library/Frameworks/WebKit.framework/Versions/A/WebKit		间接依赖
/System/Library/Frameworks/Carbon.framework/Versions/A/Carbon		间接依赖
UxTheme.dll		间接依赖
libboost_serialization-mgw73-1_57.dll		间接依赖
Qt5Sql.dll		间接依赖
/System/Library/Frameworks/AudioUnit.framework/Versions/A/AudioUnit		间接依赖
libQt5WaylandClient.so.5		间接依赖
/usr/lib/libSystem.B.dylib		间接依赖
libQt5XcbQpa.so.5		间接依赖
/usr/lib/libc++.1.dylib		间接依赖
libxcb		间接依赖
/System/Library/Frameworks/AGL.framework/Versions/A/AGL		间接依赖
WINMM.dll		间接依赖
libGL.so.1		间接依赖
MSIMG32.dll		间接依赖
libboost_filesystem-gcc-mt-1_57.so.1.57.0		间接依赖
libboost_system-mgw73-1_57.dll		间接依赖
libboost_log-mgw73-mt-1_57.dll		间接依赖
/System/Library/Frameworks/Python.framework/Versions/2.7/Python		间接依赖
qt	4.8.5	间接依赖
@executable_path/../Frameworks/Sparkle.framework/Versions/A/Sparkle		间接依赖
libdl.so.2		间接依赖
libpng	1.6.3	间接依赖
libboost_thread.dylib		间接依赖
/System/Library/Frameworks/Metal.framework/Versions/A/Metal		间接依赖
libz.so.1		间接依赖
comdlg32.dll		间接依赖
/System/Library/Frameworks/QTKit.framework/Versions/A/QTKit		间接依赖
USER32.dll		间接依赖
wayland		间接依赖
libc.so.6		间接依赖
msvcrt.dll		间接依赖
libboost_regex.dylib		间接依赖
libboost_chrono-gcc-mt-1_57.so.1.57.0		间接依赖
boost		间接依赖
libsamplerate	0.1.8	间接依赖
COMCTL32.dll		间接依赖
libboost_system.dylib		间接依赖
libboost_serialization-gcc-mt-1_57.so.1.57.0		间接依赖
/System/Library/Frameworks/SystemConfiguration.framework/Versions/A/SystemConfiguration		间接依赖
libXcomposite		间接依赖
libQt5Gui.so.5		间接依赖
libEGL.so.1		间接依赖
freetype		间接依赖
libgthread-2.0.so.0		间接依赖
/usr/lib/libbz2.1.0.dylib		间接依赖
libgcc_s_seh-1.dll		间接依赖
OLEAUT32.dll		间接依赖
/System/Library/Frameworks/VideoDecodeAcceleration.framework/Versions/A/VideoDecodeAcceleration		间接依赖
Fast-DDS		间接依赖
USERENV.dll		间接依赖
libx264		间接依赖
boost	1.69.0	间接依赖
libX11-xcb.so.1		间接依赖
libboost_filesystem-mgw73-mt-1_57.dll		间接依赖
SHELL32.dll		间接依赖
libxkbcommon-x11.so.0		间接依赖
libm.so.6		间接依赖
libboost_regex-gcc-mt-1_57.so.1.57.0		间接依赖
libboost_filesystem-mgw73-1_57.dll		间接依赖
@rpath/QtNetwork.framework/Versions/5/QtNetwork		间接依赖
d3d11.dll		间接依赖
/System/Library/Frameworks/OpenGL.framework/Versions/A/OpenGL		间接依赖
ole32.dll		间接依赖
libboost_chrono-mgw73-mt-1_57.dll		间接依赖
VERSION.dll		间接依赖
libXext		间接依赖
libX11		间接依赖
libboost_regex-gcc-1_57.so.1.57.0		间接依赖
KERNEL32.dll		间接依赖
/System/Library/Frameworks/AddressBook.framework/Versions/A/AddressBook		间接依赖
libboost_context-gcc-1_57.so.1.57.0		间接依赖
libboost_chrono.dylib		间接依赖
libpng	1.6.37	间接依赖
WTSAPI32.dll		间接依赖
/System/Library/Frameworks/AppKit.framework/Versions/C/AppKit		间接依赖
/usr/lib/libmx.A.dylib		间接依赖
SHLWAPI.dll		间接依赖
libboost_log-gcc-1_57.so.1.57.0		间接依赖
libboost_chrono-gcc-1_57.so.1.57.0		间接依赖
/System/Library/Frameworks/CoreAudio.framework/Versions/A/CoreAudio		间接依赖
NETAPI32.dll		间接依赖
/System/Library/Frameworks/Cocoa.framework/Versions/A/Cocoa		间接依赖
libpthread.so.0		间接依赖
libboost_log.dylib		间接依赖
/System/Library/Frameworks/AudioToolbox.framework/Versions/A/AudioToolbox		间接依赖
/System/Library/Frameworks/CoreVideo.framework/Versions/A/CoreVideo		间接依赖
@rpath/QtGui.framework/Versions/5/QtGui		间接依赖
libboost_thread-gcc-mt-1_57.so.1.57.0		间接依赖
@loader_path/../lib/libvlccore.7.dylib		间接依赖
fontconfig		间接依赖
librealsense	2.49.0	间接依赖
Qt5Gui.dll		间接依赖
concurrentqueue		间接依赖
/System/Library/Frameworks/ApplicationServices.framework/Versions/A/ApplicationServices		间接依赖
/System/Library/Frameworks/DiskArbitration.framework/Versions/A/DiskArbitration		间接依赖
/System/Library/Frameworks/ScriptingBridge.framework/Versions/A/ScriptingBridge		间接依赖
@rpath/QtCore.framework/Versions/5/QtCore		间接依赖
WINSPOOL.DRV		间接依赖
libboost_serialization-mgw73-mt-1_57.dll		间接依赖
libboost_chrono-mgw73-1_57.dll		间接依赖
GDI32.dll		间接依赖
libboost_context.dylib		间接依赖
libboost_log-gcc-mt-1_57.so.1.57.0		间接依赖
libboost_system-mgw73-mt-1_57.dll		间接依赖
dwmapi.dll		间接依赖
WS2_32.dll		间接依赖
libicudata.so.56		间接依赖
libdbus-1.so.3		间接依赖
libboost_log-mgw73-1_57.dll		间接依赖
libboost_serialization-gcc-1_57.so.1.57.0		间接依赖
libQt5DBus.so.5		间接依赖
/System/Library/Frameworks/IOKit.framework/Versions/A/IOKit		间接依赖
libgcrypt	1.5.3	间接依赖
/System/Library/Frameworks/CoreServices.framework/Versions/A/CoreServices		间接依赖
libvlccore.dll		间接依赖
DNSAPI.dll		间接依赖
libboost_regex-mgw73-1_57.dll		间接依赖
/usr/lib/libz.1.dylib		间接依赖
WSOCK32.dll		间接依赖
lua	5.1.4	间接依赖
libstdc++-6.dll		间接依赖
libboost_system-gcc-mt-1_57.so.1.57.0		间接依赖
libwayland-cursor.so.0		间接依赖
libQt5Core.so.5		间接依赖
libglib-2.0.so.0		间接依赖
libboost_date_time.dylib		间接依赖
@executable_path/../Frameworks/Growl.framework/Versions/A/Growl		间接依赖
libstdc++.so.6		间接依赖
CRYPT32.dll		间接依赖

SBOM 开源软件漏洞

赞 (0)

caskroom/homebrew-cask 软件分析报告

上一篇 2023年11月5日

cat/cat 软件分析报告

下一篇 2023年11月5日

ehids/ecapture 软件分析报告

基础信息项目名称：ehids/ecapture 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717411336165310464/1717411336291139584 此报告由Murphysec提供漏洞列…

软件分析 2023年10月26日
00
derailed/k9s 软件分析报告

基础信息项目名称：derailed/k9s 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717123017180053504/1717123018551590912 此报告由Murphysec提供漏洞列表 …

软件分析 2023年10月25日
00
zhxnlai/ZLPeoplePickerViewController 软件分析报告

基础信息项目名称：zhxnlai/ZLPeoplePickerViewController 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1720399476736176128/17203994778518609…

软件分析 2023年11月3日
00
askmike/gekko 软件分析报告

基础信息项目名称：askmike/gekko 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716083318981443584/1716083321326059520 此报告由Murphysec提供漏洞列表…

软件分析 2023年10月23日
00
allwefantasy/mongomongo 软件分析报告

基础信息项目名称：allwefantasy/mongomongo 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1727324722336583680/1727324730729385984 此报告由Murphy…

软件分析 2023年11月22日
00