kira8565/elastic-grok-script-plugin 软件分析报告

2023年11月22日上午3:26 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：kira8565/elastic-grok-script-plugin

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1721340281805635584/1727044341367005184

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
Apache Solr 存在 XXE 注入漏洞	XXE	MPS-2017-11558	CVE-2017-12629	严重
Google Guava 不可信数据的反序列化漏洞	不加限制或调节的资源分配	MPS-2018-5515	CVE-2018-10237	中危
Netty 存在 HTTP 请求走私漏洞	HTTP请求走私	MPS-2019-12064	CVE-2019-16869	高危
SnakeYAML	拒绝服务	MPS-2019-16129	CVE-2017-18640	高危
Elasticsearch 权限提升漏洞	权限问题	MPS-2019-2964	CVE-2019-7611	高危
Elasticsearch 存在竞争条件漏洞	竞争条件	MPS-2019-8854	CVE-2019-7614	中危
Elasticsearch 存在权限管理不恰当漏洞	权限管理不当	MPS-2020-15777	CVE-2020-7020	低危
Google Guava 访问控制错误漏洞	关键资源权限分配不当	MPS-2020-17429	CVE-2020-8908	低危
Elasticsearch 资源管理错误漏洞	未经控制的递归	MPS-2021-11043	CVE-2021-22144	中危
Elasticsearch 日志信息泄露漏洞	日志敏感信息泄露	MPS-2021-1485	CVE-2020-7021	中危
FasterXML jackson-dataformat-cbor 内存耗尽漏洞	不加限制或调节的资源分配	MPS-2021-1998	CVE-2020-28491	高危
Elasticsearch 信息泄露漏洞	未授权敏感信息泄露	MPS-2021-6747	CVE-2021-22137	中危
Elasticsearch 信息泄露漏洞	未授权敏感信息泄露	MPS-2021-6749	CVE-2021-22135	中危
com.fasterxml.jackson.core:jackson-core 存在资源管理错误漏洞	资源管理错误	MPS-2022-11944		中危
com.fasterxml.jackson.core:jackson-core BigDecimal拒绝服务漏洞	资源管理错误	MPS-2022-12166		中危
Elastic Stack Kibana 存在缺少授权漏洞	授权检查缺失	MPS-2022-2136	CVE-2022-23709	中危
Elastic Stack Kibana 存在 XSS 漏洞	XSS	MPS-2022-2137	CVE-2022-23710	中危
snakeYAML	拒绝服务	MPS-2022-5144	CVE-2022-25857	高危
snakeYAML	栈缓冲区溢出	MPS-2022-56040	CVE-2022-38751	中危
snakeYAML	栈缓冲区溢出	MPS-2022-56041	CVE-2022-38752	低危
snakeYAML	栈缓冲区溢出	MPS-2022-56051	CVE-2022-38750	中危
snakeYAML	拒绝服务	MPS-2022-56081	CVE-2022-38749	中危
SnakeYAML	栈缓冲区溢出	MPS-2022-58478	CVE-2022-41854	中危
snakeYAML	反序列化	MPS-2022-9425	CVE-2022-1471	高危
Elasticsearch 安全漏洞	拒绝服务	MPS-5mea-szlg	CVE-2023-31418	高危
Guava	创建拥有不安全权限的临时文件	MPS-mfku-xzh3	CVE-2023-2976	中危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
io.netty:netty	3.10.5.Final		间接依赖	建议修复
com.google.guava:guava	18.0	32.0.0-jre	间接依赖	建议修复
org.apache.lucene:lucene-queryparser	5.5.0	5.5.5	间接依赖	建议修复
org.elasticsearch:elasticsearch	2.3.3	7.17.13	直接依赖	建议修复
org.yaml:snakeyaml	1.15	2.0	间接依赖	建议修复
com.fasterxml.jackson.core:jackson-core	2.6.6	2.8.6	间接依赖	可选修复
com.fasterxml.jackson.dataformat:jackson-dataformat-cbor	2.6.6	2.11.4	间接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
Apache-2.0	34	低
自定义许可证	2	低
MIT	1	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
org.apache.lucene:lucene-highlighter	5.5.0	间接依赖	maven
com.fasterxml.jackson.dataformat:jackson-dataformat-cbor	2.6.6	间接依赖	maven
org.apache.lucene:lucene-backward-codecs	5.5.0	间接依赖	maven
com.spatial4j:spatial4j	0.5	间接依赖	maven
com.fasterxml.jackson.dataformat:jackson-dataformat-smile	2.6.6	间接依赖	maven
com.twitter:jsr166e	1.1.0	间接依赖	maven
com.fasterxml.jackson.dataformat:jackson-dataformat-yaml	2.6.6	间接依赖	maven
io.thekraken:grok	0.1.4	直接依赖	maven
org.joda:joda-convert	1.2	间接依赖	maven
org.apache.lucene:lucene-core	5.5.0	间接依赖	maven
org.apache.lucene:lucene-memory	5.5.0	间接依赖	maven
com.tdunning:t-digest	3.0	间接依赖	maven
org.elasticsearch:elasticsearch	2.3.3	直接依赖	maven
com.google.code.gson:gson	2.2.2	间接依赖	maven
org.apache.lucene:lucene-suggest	5.5.0	间接依赖	maven
org.hdrhistogram:HdrHistogram	2.1.6	间接依赖	maven
commons-cli:commons-cli	1.3.1	间接依赖	maven
org.slf4j:slf4j-api	1.7.5	间接依赖	maven
org.yaml:snakeyaml	1.15	间接依赖	maven
org.apache.lucene:lucene-queryparser	5.5.0	间接依赖	maven
com.google.guava:guava	18.0	间接依赖	maven
com.fasterxml.jackson.core:jackson-core	2.6.6	间接依赖	maven
org.elasticsearch:securesm	1.0	间接依赖	maven
org.apache.lucene:lucene-spatial	5.5.0	间接依赖	maven
org.apache.commons:commons-lang3	3.4	直接依赖	maven
com.carrotsearch:hppc	0.7.1	间接依赖	maven
org.apache.lucene:lucene-spatial3d	5.5.0	间接依赖	maven
io.netty:netty	3.10.5.Final	间接依赖	maven
com.github.tony19:named-regexp	0.2.3	间接依赖	maven
com.ning:compress-lzf	1.0.2	间接依赖	maven
org.apache.lucene:lucene-grouping	5.5.0	间接依赖	maven
org.apache.lucene:lucene-analyzers-common	5.5.0	间接依赖	maven
org.apache.lucene:lucene-join	5.5.0	间接依赖	maven
org.apache.lucene:lucene-queries	5.5.0	间接依赖	maven
joda-time:joda-time	2.8.2	间接依赖	maven
org.apache.lucene:lucene-sandbox	5.5.0	间接依赖	maven
org.apache.lucene:lucene-misc	5.5.0	间接依赖	maven

SBOM 开源软件漏洞

赞 (0)

kingsic/SGQRCode 软件分析报告

上一篇 2023年11月22日

KirillM/BarChart 软件分析报告

下一篇 2023年11月22日

jchomali/ApolloDB 软件分析报告

基础信息项目名称：jchomali/ApolloDB 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1719035519659982848/1719035519815172096 此报告由Murphysec提供 …

软件分析 2023年10月31日
00
knqyf263/trivy 软件分析报告

基础信息项目名称：knqyf263/trivy 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721342997130936320/1727053670125621248 此报告由Murphysec提供漏洞列…

软件分析 2023年11月22日
00
creeperyang/koa-xml-body 软件分析报告

基础信息项目名称：creeperyang/koa-xml-body 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721111797607501824/1729254400395792384 此报告由Murph…

软件分析 2023年11月28日
00
yunabe/lgo 软件分析报告

基础信息项目名称：yunabe/lgo 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1720280396138065920/1720280396628799488 此报告由Murphysec提供漏洞列表暂无…

软件分析 2023年11月3日
00
brandonaaron/jquery-expandable 软件分析报告

基础信息项目名称：brandonaaron/jquery-expandable 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716447714090811392/1716447714250194944 此报告…

软件分析 2023年10月23日
00