基础信息
项目名称:larsga/Duke
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1721360769235845120/1721360769281982464
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| Elasticsearch 路径遍历漏洞 | 路径遍历 | MPS-2015-2203 | CVE-2015-3337 | 中危 |
| Elasticsearch 目录遍历漏洞 | 路径遍历 | MPS-2015-4083 | CVE-2015-5531 | 中危 |
| Elasticsearch | 权限、特权和访问控制 | MPS-2017-8921 | CVE-2015-4165 | 高危 |
| Elasticsearch | 注入 | MPS-2018-2795 | CVE-2015-5377 | 严重 |
| Elasticsearch 权限提升漏洞 | 权限问题 | MPS-2019-2964 | CVE-2019-7611 | 高危 |
| Elasticsearch 存在竞争条件漏洞 | 竞争条件 | MPS-2019-8854 | CVE-2019-7614 | 中危 |
| Elasticsearch 存在权限管理不恰当漏洞 | 权限管理不当 | MPS-2020-15777 | CVE-2020-7020 | 低危 |
| Elasticsearch 资源管理错误漏洞 | 未经控制的递归 | MPS-2021-11043 | CVE-2021-22144 | 中危 |
| Elasticsearch 日志信息泄露漏洞 | 日志敏感信息泄露 | MPS-2021-1485 | CVE-2020-7021 | 中危 |
| Elasticsearch 信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2021-6747 | CVE-2021-22137 | 中危 |
| Elasticsearch 信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2021-6749 | CVE-2021-22135 | 中危 |
| com.fasterxml.jackson.core:jackson-core 存在资源管理错误漏洞 | 资源管理错误 | MPS-2022-11944 | 中危 | |
| com.fasterxml.jackson.core:jackson-core BigDecimal拒绝服务漏洞 | 资源管理错误 | MPS-2022-12166 | 中危 | |
| Elastic Stack Kibana 存在缺少授权漏洞 | 授权检查缺失 | MPS-2022-2136 | CVE-2022-23709 | 中危 |
| Elastic Stack Kibana 存在 XSS 漏洞 | XSS | MPS-2022-2137 | CVE-2022-23710 | 中危 |
| Elasticsearch 安全漏洞 | 拒绝服务 | MPS-5mea-szlg | CVE-2023-31418 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| org.elasticsearch:elasticsearch | 1.4.4 | 7.17.13 | 直接依赖 | 建议修复 |
| com.fasterxml.jackson.core:jackson-core | 2.3.2 | 2.8.6 | 直接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| Apache-2.0 | 22 | 低 |
| 自定义许可证 | 3 | 低 |
| LGPL-2.1 | 1 | 中 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| org.mongodb:mongo-java-driver | 3.12.14 | 直接依赖 | maven |
| org.apache.lucene:lucene-memory | 4.10.3 | 间接依赖 | maven |
| org.ow2.asm:asm | 4.1 | 间接依赖 | maven |
| org.apache.lucene:lucene-suggest | 4.10.3 | 间接依赖 | maven |
| org.apache.lucene:lucene-highlighter | 4.10.3 | 间接依赖 | maven |
| org.ow2.asm:asm-commons | 4.1 | 间接依赖 | maven |
| no.priv.garshol.duke:duke-mongodb | 1.4-SNAPSHOT | 直接依赖 | maven |
| org.apache.lucene:lucene-analyzers-common | 4.10.3 | 间接依赖 | maven |
| no.priv.garshol.duke:duke-json | 1.4-SNAPSHOT | 直接依赖 | maven |
| org.apache.lucene:lucene-grouping | 4.10.3 | 间接依赖 | maven |
| org.apache.lucene:lucene-core | 4.0.0 | 直接依赖 | maven |
| org.antlr:antlr-runtime | 3.5 | 间接依赖 | maven |
| org.apache.lucene:lucene-spatial | 4.10.3 | 间接依赖 | maven |
| org.apache.lucene:lucene-queryparser | 4.10.3 | 间接依赖 | maven |
| org.mapdb:mapdb | 0.9.13 | 直接依赖 | maven |
| com.fasterxml.jackson.core:jackson-core | 2.3.2 | 直接依赖 | maven |
| org.apache.lucene:lucene-analyzers-common | 4.0.0 | 直接依赖 | maven |
| com.spatial4j:spatial4j | 0.3 | 间接依赖 | maven |
| no.priv.garshol.duke:duke-mapdb | 1.4-SNAPSHOT | 直接依赖 | maven |
| org.apache.lucene:lucene-spatial | 4.0.0 | 直接依赖 | maven |
| org.apache.lucene:lucene-sandbox | 4.10.3 | 间接依赖 | maven |
| no.priv.garshol.duke:duke-lucene | 1.4-SNAPSHOT | 直接依赖 | maven |
| org.apache.lucene:lucene-misc | 4.10.3 | 间接依赖 | maven |
| no.priv.garshol.duke:duke-core | 1.4-SNAPSHOT | 直接依赖 | maven |
| org.apache.lucene:lucene-queries | 4.0.0 | 间接依赖 | maven |
| org.apache.lucene:lucene-join | 4.10.3 | 间接依赖 | maven |
| org.apache.lucene:lucene-core | 4.10.3 | 间接依赖 | maven |
| org.elasticsearch:elasticsearch | 1.4.4 | 直接依赖 | maven |
| no.priv.garshol.duke:duke-server | 1.4-SNAPSHOT | 直接依赖 | maven |
| com.spatial4j:spatial4j | 0.4.1 | 间接依赖 | maven |
| org.apache.lucene:lucene-queries | 4.10.3 | 间接依赖 | maven |