itxinmeng/mx-encrypt-spring-boot-starter 软件分析报告

2023年11月20日上午10:35 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：itxinmeng/mx-encrypt-spring-boot-starter

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1726428934520135680/1726428934943760384

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
Spring Framework	反序列化	MPS-2020-0057	CVE-2016-1000027	严重
snakeYAML	拒绝服务	MPS-2022-5144	CVE-2022-25857	高危
snakeYAML	栈缓冲区溢出	MPS-2022-56040	CVE-2022-38751	中危
snakeYAML	栈缓冲区溢出	MPS-2022-56041	CVE-2022-38752	低危
snakeYAML	栈缓冲区溢出	MPS-2022-56051	CVE-2022-38750	中危
snakeYAML	拒绝服务	MPS-2022-56081	CVE-2022-38749	中危
SnakeYAML	栈缓冲区溢出	MPS-2022-58478	CVE-2022-41854	中危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞	拒绝服务	MPS-2022-58653	CVE-2022-42003	中危
FasterXML jackson-databind 小于2.13.4拒绝服务漏洞	拒绝服务	MPS-2022-58654	CVE-2022-42004	中危
Hutool 存在拒绝服务漏洞	越界写入	MPS-2022-64976	CVE-2022-45688	中危
Hutool 存在拒绝服务漏洞	越界写入	MPS-2022-64977	CVE-2022-45689	中危
Hutool 存在拒绝服务漏洞	越界写入	MPS-2022-64978	CVE-2022-45690	中危
Hutool zip 拒绝服务漏洞	不恰当的资源关闭或释放	MPS-2022-68308	CVE-2022-4565	中危
snakeYAML	反序列化	MPS-2022-9425	CVE-2022-1471	高危
hutool 表达式注入漏洞	SQL注入	MPS-2023-2459	CVE-2023-24163	严重
hutool	反序列化	MPS-2023-2460	CVE-2023-24162	高危
hutool 存在任意代码执行漏洞	代码注入	MPS-2023-7335		严重
Hutool createTempFile函数敏感信息泄漏漏洞	未授权敏感信息泄露	MPS-4soz-eyma	CVE-2023-33695	中危
Apache Tomcat http请求走私漏洞	输入验证不恰当	MPS-b5of-dwyh	CVE-2023-45648	中危
Apache Tomcat 安全漏洞	清理环节不完整	MPS-hz9y-jtfe	CVE-2023-42795	中危
hutool	代码注入	MPS-jdrq-1ywv		高危
Apache Tomcat 安全漏洞	清理环节不完整	MPS-l8rt-k2nh	CVE-2023-42794	高危
Apache Tomcat FORM 重定向漏洞	跨站重定向	MPS-uy56-j8e4	CVE-2023-41080	低危
HuTool XML外部实体注入漏洞	XXE	MPS-xd3s-4gev	CVE-2023-3276	中危
【存在争议】FasterXML jackson-databind 代码问题漏洞	不加限制或调节的资源分配	MPS-z1bx-p8y2	CVE-2023-35116	中危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
cn.hutool:hutool-all	5.8.4	5.8.21	直接依赖	强烈建议修复
com.fasterxml.jackson.core:jackson-databind	2.12.7.1		间接依赖	建议修复
org.yaml:snakeyaml	1.28	2.0	间接依赖	建议修复
org.springframework:spring-web	5.3.27	6.0.0	间接依赖	建议修复
org.apache.tomcat.embed:tomcat-embed-core	9.0.75	9.0.81	间接依赖	建议修复

许可证风险

许可证类型	相关组件	许可证风险
Apache-2.0	31	低
EPL-2.0	1	低
MIT	2	低
自定义许可证	3	低
EPL-1.0	2	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
org.springframework.boot:spring-boot-starter	2.5.15	直接依赖	maven
com.fasterxml.jackson.datatype:jackson-datatype-jsr310	2.12.7	间接依赖	maven
org.springframework.boot:spring-boot-starter-logging	2.5.15	间接依赖	maven
com.fasterxml.jackson.core:jackson-databind	2.12.7.1	间接依赖	maven
jakarta.annotation:jakarta.annotation-api	1.3.5	间接依赖	maven
org.springframework:spring-expression	5.3.27	间接依赖	maven
org.slf4j:slf4j-api	1.7.36	间接依赖	maven
com.fasterxml.jackson.core:jackson-annotations	2.12.7	间接依赖	maven
org.springframework.boot:spring-boot-starter-jdbc	2.5.15	直接依赖	maven
org.yaml:snakeyaml	1.28	间接依赖	maven
org.apache.tomcat.embed:tomcat-embed-el	9.0.75	间接依赖	maven
cn.hutool:hutool-all	5.8.4	直接依赖	maven
org.springframework:spring-context	5.3.27	间接依赖	maven
ch.qos.logback:logback-classic	1.2.12	间接依赖	maven
com.zaxxer:HikariCP	4.0.3	间接依赖	maven
org.springframework:spring-core	5.3.27	间接依赖	maven
org.springframework:spring-webmvc	5.3.27	间接依赖	maven
org.springframework:spring-web	5.3.27	间接依赖	maven
org.apache.logging.log4j:log4j-api	2.17.2	间接依赖	maven
com.fasterxml.jackson.module:jackson-module-parameter-names	2.12.7	间接依赖	maven
org.apache.logging.log4j:log4j-to-slf4j	2.17.2	间接依赖	maven
org.slf4j:jul-to-slf4j	1.7.36	间接依赖	maven
org.springframework.boot:spring-boot-starter-json	2.5.15	间接依赖	maven
com.fasterxml.jackson.datatype:jackson-datatype-jdk8	2.12.7	间接依赖	maven
org.springframework:spring-beans	5.3.27	间接依赖	maven
org.springframework:spring-jdbc	5.3.27	间接依赖	maven
org.apache.tomcat.embed:tomcat-embed-websocket	9.0.75	间接依赖	maven
org.springframework.boot:spring-boot-autoconfigure	2.5.15	间接依赖	maven
org.springframework:spring-aop	5.3.27	间接依赖	maven
org.springframework:spring-tx	5.3.27	间接依赖	maven
org.springframework.boot:spring-boot	2.5.15	间接依赖	maven
org.springframework:spring-jcl	5.3.27	间接依赖	maven
org.springframework.boot:spring-boot-starter-tomcat	2.5.15	间接依赖	maven
com.fasterxml.jackson.core:jackson-core	2.12.7	间接依赖	maven
org.apache.tomcat.embed:tomcat-embed-core	9.0.75	间接依赖	maven
org.springframework.boot:spring-boot-starter-web	2.5.15	直接依赖	maven
ch.qos.logback:logback-core	1.2.12	间接依赖	maven

SBOM 开源软件漏洞

赞 (0)

GordyD/3ree 软件分析报告

上一篇 2023年11月20日

goreleaser/goreleaser 软件分析报告

下一篇 2023年11月20日

ecthros/uncaptcha 软件分析报告

基础信息项目名称：ecthros/uncaptcha 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717388413716004864/1717388414051549184 此报告由Murphysec提供 …

软件分析 2023年10月26日
00
jonsen/domainpark 软件分析报告

基础信息项目名称：jonsen/domainpark 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1719253329975754752/1719253332806909952 此报告由Murphysec提供 …

软件分析 2023年10月31日
00
bradvin/FooTable 软件分析报告

基础信息项目名称：bradvin/FooTable 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716444914282971136/1716444914526240768 此报告由Murphysec提供漏…

软件分析 2023年10月23日
00
jamesmontemagno/Xamarin.Plugins 软件分析报告

基础信息项目名称：jamesmontemagno/Xamarin.Plugins 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1718952697327648768/1718952698158120960 此报…

软件分析 2023年10月30日
00
Rafostar/clapper 软件分析报告

基础信息项目名称：Rafostar/clapper 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1758269552334180352/1758269552371929088 此报告由Murphysec提供漏…

软件分析 2024年2月16日
00