ClearTK/cleartk 软件分析报告

2023年11月9日上午5:53 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：ClearTK/cleartk

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1721091982872350720/1722371182946394112

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
BeanShell 任意命令执行漏洞	数据处理错误	MPS-2016-1438	CVE-2016-2510	高危
plexus-utils	OS命令注入	MPS-2018-0091	CVE-2017-1000487	严重
Apache Log4j SocketServer反序列化漏洞	反序列化	MPS-2019-17271	CVE-2019-17571	严重
Apache Log4j2 SmtpAppender证书验证不当漏洞	证书验证不恰当	MPS-2020-6684	CVE-2020-9488	低危
Apache Commons Compress 安存在拒绝服务漏洞	不加限制或调节的资源分配	MPS-2021-10550	CVE-2021-35517	高危
Apache Commons Compress 存在拒绝服务漏洞	不加限制或调节的资源分配	MPS-2021-10551	CVE-2021-35516	高危
Apache Commons Compress 存在拒绝服务漏洞	不加限制或调节的资源分配	MPS-2021-10564	CVE-2021-36090	高危
Apache Commons Compress 无限循环漏洞	不可达退出条件的循环（无限循环）	MPS-2021-10565	CVE-2021-35515	高危
Apache Log4j JMSAppender反序列化漏洞	反序列化	MPS-2021-38359	CVE-2021-4104	高危
plexus-utils	路径遍历	MPS-2022-11760		中危
plexus-utils	XPath盲注	MPS-2022-11786		低危
com.google.code.gson:gson 存在BigDecimal拒绝服务漏洞	反序列化	MPS-2022-12287	CVE-2022-25647	高危
Apache Log4j JDBCAppender SQL注入漏洞	SQL注入	MPS-2022-1444	CVE-2022-23305	严重
Apache Log4j Chainsaw反序列化漏洞	反序列化	MPS-2022-1445	CVE-2022-23307	高危
Apache Log4j 反序列化漏洞	反序列化	MPS-2022-1446	CVE-2022-23302	高危
Apache XercesJ	XPath盲注	MPS-2022-1864	CVE-2022-23437	中危
Apache Xalan 存在整数截断漏洞	数值截断错误	MPS-2022-19461	CVE-2022-34169	中危
Apache Ivy	路径遍历	MPS-2022-53784	CVE-2022-37865	中危
Apache Ivy	路径遍历	MPS-2022-53785	CVE-2022-37866	中危
protobuf-java 存在输入验证不当漏洞	拒绝服务	MPS-2022-56472	CVE-2022-3171	中危
IBM WebSphere Application Server Liberty 存在拒绝服务漏洞	对因果或异常条件的不恰当检查	MPS-2022-59813	CVE-2022-3509	中危
Google protobuf 安全漏洞		MPS-2022-59814	CVE-2022-3510	高危
Spring 处理 SpEL 存在拒绝服务漏洞	拒绝服务	MPS-2022-62833	CVE-2023-20861	中危
Spring Expression 存在拒绝服务漏洞	拒绝服务	MPS-2022-62835	CVE-2023-20863	高危
codehaus-plexus XXE注入漏洞	XPath盲注	MPS-2022-66466	CVE-2022-4245	中危
Apache Ivy	输入验证不恰当	MPS-2022-67125	CVE-2022-46751	中危
Apache UIMA Java SDK	反序列化	MPS-8r5d-9m7h	CVE-2023-39913	高危
Guava	创建拥有不安全权限的临时文件	MPS-mfku-xzh3	CVE-2023-2976	中危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
org.codehaus.plexus:plexus-utils	2.0.6	3.0.24	间接依赖	建议修复
org.apache.commons:commons-compress	1.20	1.21	间接依赖	建议修复
xalan:xalan	2.7.2		间接依赖	建议修复
org.apache.uima:uimaj-core	3.4.0	3.5.0	直接依赖	建议修复
org.beanshell:bsh	2.0b4		间接依赖	建议修复
log4j:log4j	1.2.17		间接依赖	建议修复
com.google.protobuf:protobuf-java	3.19.2	3.19.6	间接依赖	可选修复
org.apache.ivy:ivy	2.5.0	2.5.2	间接依赖	可选修复
xerces:xercesImpl	2.8.0	2.12.2	间接依赖	可选修复
org.springframework:spring-expression	5.3.25	5.3.27	间接依赖	可选修复
com.google.code.gson:gson	2.3.1	2.8.9	间接依赖	可选修复
org.springframework:spring-core	5.3.25	5.3.26	间接依赖	可选修复
com.google.guava:guava	31.1-jre	32.0.0-jre	直接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
BSD-3-Clause	35	低
GPL-3.0	4	中
Apache-2.0	63	低
自定义许可证	26	低
GPL-2.0	1	中
LGPL-2.1	2	中
MIT	3	低
CDDL-1.1	2	低
EPL-1.0	1	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
com.github.fommil.netlib:netlib-native_system-win-x86_64	1.1	间接依赖	maven
com.github.fracpete:jclipboardhelper	0.1.0	间接依赖	maven
org.ejml:ejml-cdense	0.39	间接依赖	maven
com.sun.activation:jakarta.activation	1.2.2	间接依赖	maven
edu.berkeley.nlp:berkeleyparser	r32	直接依赖	maven
joda-time:joda-time	2.10.5	间接依赖	maven
org.ejml:ejml-simple	0.39	间接依赖	maven
tw.edu.ntu.csie:libsvm	3.17	直接依赖	maven
com.lexicalscope.jewelcli:jewelcli	0.8.9	直接依赖	maven
org.ejml:ejml-core	0.39	间接依赖	maven
libc.so.6		间接依赖
com.github.fommil.netlib:native_ref-java	1.1	间接依赖	maven
org.beanshell:bsh	2.0b4	间接依赖	maven
org.tukaani:xz	1.5	间接依赖	maven
org.apache.lucene:lucene-analyzers-common	7.5.0	间接依赖	maven
nz.ac.waikato.cms.weka:weka-dev	3.9.6	直接依赖	maven
com.github.fommil.netlib:netlib-native_system-linux-x86_64	1.1	间接依赖	maven
xom:xom	1.3.7	间接依赖	maven
edu.emory.clir:clearnlp-dictionary	3.2	直接依赖	maven
javax.activation:javax.activation-api	1.2.0	间接依赖	maven
org.cleartk:cleartk-opennlp-tools	3.0.1-SNAPSHOT	直接依赖	maven
org.apache.uima:uimafit-core	3.4.0	直接依赖	maven
com.github.fommil.netlib:netlib-native_system-win-i686	1.1	间接依赖	maven
com.github.fracpete:jfilechooser-bookmarks	0.1.6	间接依赖	maven
com.google.code.findbugs:jsr305	3.0.2	间接依赖	maven
org.apache.lucene:lucene-queries	7.5.0	间接依赖	maven
de.bwaldvogel:liblinear	1.94	直接依赖	maven
com.github.fommil.netlib:netlib-native_ref-linux-i686	1.1	间接依赖	maven
org.slf4j:slf4j-api	1.7.36	间接依赖	maven
com.github.fommil.netlib:netlib-native_ref-linux-armhf	1.1	间接依赖	maven
com.github.fommil:jniloader	1.1	间接依赖	maven
com.github.fommil.netlib:netlib-native_system-osx-x86_64	1.1	间接依赖	maven
edu.emory.clir:clearnlp-general-en-srl	3.0	直接依赖	maven
org.apache.commons:commons-lang3	3.12.0	直接依赖	maven
org.glassfish:javax.json	1.0.4	间接依赖	maven
org.cleartk:cleartk-type-system	3.0.1-SNAPSHOT	直接依赖	maven
edu.emory.clir:clearnlp-general-en-pos	3.2	直接依赖	maven
org.springframework:spring-aop	5.3.25	间接依赖	maven
org.cleartk:cleartk-ml	3.0.1-SNAPSHOT	直接依赖	maven
com.github.fommil.netlib:netlib-native_ref-win-i686	1.1	间接依赖	maven
com.github.fommil.netlib:core	1.1	间接依赖	maven
org.springframework:spring-core	5.3.25	间接依赖	maven
org.maltparser:maltparser	1.9.2	直接依赖	maven
liblbfgs-1.10.so		间接依赖
net.bytebuddy:byte-buddy	1.12.10	直接依赖	maven
org.springframework:spring-expression	5.3.25	间接依赖	maven
com.github.fommil.netlib:all	1.1.2	间接依赖	maven
/usr/lib/libSystem.B.dylib		间接依赖
cc.mallet:mallet	2.0.8	直接依赖	maven
org.tukaani:xz	1.8	间接依赖	maven
args4j:args4j	2.0.29	间接依赖	maven
org.springframework:spring-beans	5.3.25	间接依赖	maven
edu.emory.clir:clearnlp	3.2.0	直接依赖	maven
xalan:xalan	2.7.2	间接依赖	maven
org.springframework:spring-jcl	5.3.25	间接依赖	maven
com.github.fommil.netlib:native_system-java	1.1	间接依赖	maven
jakarta.xml.bind:jakarta.xml.bind-api	2.3.3	间接依赖	maven
com.googlecode.matrix-toolkits-java:mtj	1.0.4	间接依赖	maven
org.cleartk:cleartk-ml-mallet	3.0.1-SNAPSHOT	直接依赖	maven
jakarta.activation:jakarta.activation-api	1.2.2	间接依赖	maven
org.apache.uima:uimaj-core	3.4.0	直接依赖	maven
org.springframework:spring-context	5.3.25	间接依赖	maven
com.google.errorprone:error_prone_annotations	2.11.0	间接依赖	maven
org.cleartk:cleartk-ml-libsvm	3.0.1-SNAPSHOT	直接依赖	maven
com.github.fommil.netlib:netlib-native_system-linux-i686	1.1	间接依赖	maven
com.google.guava:failureaccess	1.0.1	间接依赖	maven
com.carrotsearch:hppc	0.6.1	间接依赖	maven
org.ejml:ejml-dsparse	0.39	间接依赖	maven
org.cleartk:cleartk-ml-liblinear	3.0.1-SNAPSHOT	直接依赖	maven
xml-apis:xml-apis	1.3.03	间接依赖	maven
de.jollyday:jollyday	0.4.9	间接依赖	maven
org.chboston.cnlp:libsvm-java-kernel	0.1.0	直接依赖	maven
commons-cli:commons-cli	1.2	直接依赖	maven
javax.xml.bind:jaxb-api	2.4.0-b180830.0359	间接依赖	maven
com.github.fommil.netlib:netlib-native_ref-osx-x86_64	1.1	间接依赖	maven
org.codehaus.plexus:plexus-utils	2.0.6	间接依赖	maven
log4j:log4j	1.2.17	间接依赖	maven
org.glassfish.jaxb:jaxb-runtime	2.3.5	间接依赖	maven
org.dkpro.core:dkpro-core-api-parameter-asl	2.2.0	间接依赖	maven
org.apache.ivy:ivy	2.5.0	间接依赖	maven
org.cleartk:cleartk-feature	3.0.1-SNAPSHOT	直接依赖	maven
org.apache.opennlp:opennlp-uima	1.9.4	直接依赖	maven
org.apache.lucene:lucene-snowball	3.0.3	直接依赖	maven
edu.emory.clir:clearnlp-general-en-dep	3.2	直接依赖	maven
com.github.vbmacher:java-cup-runtime	11b-20160615	间接依赖	maven
commons-io:commons-io	2.11.0	直接依赖	maven
org.glassfish.jaxb:txw2	2.3.5	间接依赖	maven
org.dkpro.core:dkpro-core-api-resources-asl	2.2.0	直接依赖	maven
junit:junit	4.13.2	直接依赖	maven
org.cleartk:cleartk-util	3.0.1-SNAPSHOT	直接依赖	maven
org.dkpro.core:dkpro-core-api-metadata-asl	2.2.0	间接依赖	maven
com.googlecode.netlib-java:netlib-java	1.1	间接依赖	maven
com.sun.istack:istack-commons-runtime	3.0.7	间接依赖	maven
com.google.guava:guava	31.1-jre	直接依赖	maven
com.github.fommil.netlib:netlib-native_ref-win-x86_64	1.1	间接依赖	maven
edu.emory.clir:clearnlp-general-en-ner	3.1	直接依赖	maven
javax.servlet:javax.servlet-api	3.0.1	间接依赖	maven
org.apache.opennlp:opennlp-tools	1.9.4	直接依赖	maven
org.cleartk:cleartk-ml-opennlp-maxent	3.0.1-SNAPSHOT	直接依赖	maven
net.sourceforge.f2j:arpack_combined_all	0.1	间接依赖	maven
org.cleartk:cleartk-ml-tksvmlight	3.0.1-SNAPSHOT	直接依赖	maven
org.apache.commons:commons-compress	1.20	间接依赖	maven
org.apache.lucene:lucene-core	7.5.0	间接依赖	maven
org.apache.lucene:lucene-queryparser	7.5.0	间接依赖	maven
com.github.fommil.netlib:netlib-native_system-linux-armhf	1.1	间接依赖	maven
org.hamcrest:hamcrest-core	1.3	间接依赖	maven
com.google.code.gson:gson	2.3.1	间接依赖	maven
edu.stanford.nlp:stanford-corenlp	4.5.1	直接依赖	maven
org.ejml:ejml-zdense	0.39	间接依赖	maven
org.ejml:ejml-fdense	0.39	间接依赖	maven
MSVCR100.dll		间接依赖
org.jdom:jdom-legacy	1.1.3	直接依赖	maven
xerces:xercesImpl	2.8.0	间接依赖	maven
libcqdb-0.12.so		间接依赖
xalan:serializer	2.7.2	间接依赖	maven
com.sun.istack:istack-commons-runtime	3.0.12	间接依赖	maven
libm.so.6		间接依赖
com.google.guava:listenablefuture	9999.0-empty-to-avoid-conflict-with-guava	间接依赖	maven
edu.emory.clir:clearnlp-general-en-ner-gazetteer	3.0	直接依赖	maven
commons-logging:commons-logging-api	1.1	间接依赖	maven
libcrfsuite-0.12.so		间接依赖
org.apache.uima:uimaj-document-annotation	3.4.0	直接依赖	maven
org.cleartk:cleartk-ml-svmlight	3.0.1-SNAPSHOT	直接依赖	maven
com.google.protobuf:protobuf-java	3.19.2	间接依赖	maven
org.cleartk:cleartk-token	3.0.1-SNAPSHOT	直接依赖	maven
org.apache.lucene:lucene-sandbox	7.5.0	间接依赖	maven
org.cleartk:cleartk-eval	3.0.1-SNAPSHOT	直接依赖	maven
com.github.vbmacher:java-cup	11b-20160615	间接依赖	maven
net.sf.trove4j:trove4j	2.0.2	间接依赖	maven
org.ejml:ejml-ddense	0.39	间接依赖	maven
org.checkerframework:checker-qual	3.12.0	间接依赖	maven
com.github.fommil.netlib:netlib-native_ref-linux-x86_64	1.1	间接依赖	maven
nz.ac.waikato.cms.weka.thirdparty:bounce	0.18	间接依赖	maven
edu.emory.clir:clearnlp-global-lexica	3.1	直接依赖	maven
org.jdom:jdom2	2.0.6.1	直接依赖	maven
com.google.j2objc:j2objc-annotations	1.3	间接依赖	maven
com.formdev:flatlaf	2.0	间接依赖	maven
org.cleartk:cleartk-snowball	3.0.1-SNAPSHOT	直接依赖	maven
org.ejml:ejml-fsparse	0.39	间接依赖	maven
com.googlecode.json-simple:json-simple	1.1.1	间接依赖	maven
org.apache.maven:maven-model	3.0.5	间接依赖	maven
KERNEL32.dll		间接依赖
com.apple:AppleJavaExtensions	1.4	间接依赖	maven
org.cleartk:cleartk-corpus	3.0.1-SNAPSHOT	直接依赖	maven
com.sun.xml.bind:jaxb-impl	2.4.0-b180830.0438	间接依赖	maven

SBOM 开源软件漏洞

赞 (0)

clearcodecn/gosearch 软件分析报告

上一篇 2023年11月9日

ClementTsang/bottom 软件分析报告

下一篇 2023年11月9日

fengdu78/Coursera-ML-AndrewNg-Notes 软件分析报告

基础信息项目名称：fengdu78/Coursera-ML-AndrewNg-Notes 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721192649511211008/173092664178372608…

软件分析 2023年12月2日
00
agauniyal/rang 软件分析报告

基础信息项目名称：agauniyal/rang 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1715560419225632768/1715560419573760000 此报告由Murphysec提供漏洞列…

软件分析 2023年10月23日
00
junit-team/junit 软件分析报告

基础信息项目名称：junit-team/junit 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1719324159812354048/1719324159988514816 此报告由Murphysec提供漏…

软件分析 2023年10月31日
00
rebebuca/rebebuca 软件分析报告

基础信息项目名称：rebebuca/rebebuca 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1762244586205511680/1762244586247454720 此报告由Murphysec提供 …

软件分析 2024年2月27日
00
keirp/Glass-Segmented-Buttons-for-iOS-5.1- 软件分析报告

基础信息项目名称：keirp/Glass-Segmented-Buttons-for-iOS-5.1- 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1719407845744361472/17194078457…

软件分析 2023年11月1日
00