YangYouWang/springboot-starter-im 软件分析报告

2023年11月7日上午5:26 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：YangYouWang/springboot-starter-im

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1721640103826726912/1721640103868669952

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
Fastjson 1.2.25-1.2.47版本远程代码执行漏洞	使用外部可控制的输入来选择类或代码（不安全的反射）	MPS-2018-27011		严重
Fastjson	使用外部可控制的输入来选择类或代码（不安全的反射）	MPS-2019-28847		严重
Fastjson	拒绝服务	MPS-2019-28848		严重
Fastjson	使用外部可控制的输入来选择类或代码（不安全的反射）	MPS-2020-39708		严重
Fastjson	反序列化	MPS-2020-40828		高危
Spring Framework	日志输出的转义处理不恰当	MPS-2021-18854	CVE-2021-22060	中危
Pivotal Spring Framework 日志注入漏洞	日志输出的转义处理不恰当	MPS-2021-18890	CVE-2021-22096	中危
Vmware Spring Framework 安全漏洞	不加限制或调节的资源分配	MPS-2022-1080	CVE-2022-22950	中危
Pivotal Spring Framework 安全限制绕过漏洞	大小写敏感处理不恰当	MPS-2022-1098	CVE-2022-22968	中危
Spring Framework spring-beans 存在拒绝服务漏洞	不加限制或调节的资源分配	MPS-2022-1101	CVE-2022-22970	中危
Fastjson	反序列化	MPS-2022-11320	CVE-2022-25845	高危
Spring 处理 SpEL 存在拒绝服务漏洞	拒绝服务	MPS-2022-62833	CVE-2023-20861	中危
Spring Expression 存在拒绝服务漏洞	拒绝服务	MPS-2022-62835	CVE-2023-20863	高危
Spring Boot 欢迎页功能拒绝服务风险	拒绝服务	MPS-2022-62855	CVE-2023-20883	高危
spring-boot	将资源暴露给错误范围	MPS-2022-6780	CVE-2022-27772	高危
spring-beans 远程代码执行漏洞(Spring4Shell)	表达式语言注入	MPS-2022-6820	CVE-2022-22965	严重

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
com.alibaba:fastjson	1.2.47	1.2.83	直接依赖	强烈建议修复
org.springframework:spring-beans	5.2.3.RELEASE	5.2.22.RELEASE	间接依赖	建议修复
org.springframework.boot:spring-boot	2.2.4.RELEASE	2.2.11.RELEASE	间接依赖	建议修复
org.springframework:spring-context	5.2.3.RELEASE	5.2.21.RELEASE	间接依赖	建议修复
org.springframework:spring-core	5.2.3.RELEASE	5.2.23.RELEASE	间接依赖	可选修复
org.springframework.boot:spring-boot-autoconfigure	2.2.4.RELEASE	2.5.15	直接依赖	可选修复
org.springframework:spring-expression	5.2.3.RELEASE	5.2.24	间接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
Apache-2.0	11	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
org.springframework.boot:spring-boot-autoconfigure	2.2.4.RELEASE	直接依赖	maven
org.springframework:spring-context	5.2.3.RELEASE	间接依赖	maven
com.alibaba:fastjson	1.2.47	直接依赖	maven
org.springframework.boot:spring-boot-configuration-processor	2.2.4.RELEASE	直接依赖	maven
io.netty:netty-all	4.1.50.Final	直接依赖	maven
org.springframework:spring-core	5.2.3.RELEASE	间接依赖	maven
org.springframework:spring-jcl	5.2.3.RELEASE	间接依赖	maven
org.springframework:spring-aop	5.2.3.RELEASE	间接依赖	maven
org.springframework.boot:spring-boot	2.2.4.RELEASE	间接依赖	maven
org.springframework:spring-beans	5.2.3.RELEASE	间接依赖	maven
org.springframework:spring-expression	5.2.3.RELEASE	间接依赖	maven

SBOM 开源软件漏洞

赞 (0)

yangyangwithgnu/yosong 软件分析报告

上一篇 2023年11月7日

yanhaijing/inverter 软件分析报告

下一篇 2023年11月7日

grafana/oncall 软件分析报告

基础信息项目名称：grafana/oncall 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721246785443270656/1729636741524447232 此报告由Murphysec提供漏洞列…

软件分析 2023年11月29日
00
kenglxn/QRGen 软件分析报告

基础信息项目名称：kenglxn/QRGen 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1719410880907182080/1719410880949125120 此报告由Murphysec提供漏洞列表…

软件分析 2023年11月1日
00
zotero/zotero 软件分析报告

基础信息项目名称：zotero/zotero 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721743631461978112/1721743631537475584 此报告由Murphysec提供漏洞列表…

软件分析 2023年11月7日
00
ipfs-shipyard/ipfs-deploy 软件分析报告

基础信息项目名称：ipfs-shipyard/ipfs-deploy 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1718865646849933312/1718865647294529536 此报告由Murp…

软件分析 2023年10月30日
00
xBimTeam/XbimEssentials 软件分析报告

基础信息项目名称：xBimTeam/XbimEssentials 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1724664053137100800/1724664053195821056 此报告由Murphy…

软件分析 2023年11月15日
00