xiexiaodong/Dreamvc 软件分析报告

2023年11月22日上午11:45 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：xiexiaodong/Dreamvc

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1727171207939710976/1727171208417861632

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
多款Cisco产品Apache Commons Collections库任意代码执行漏洞	反序列化	MPS-2015-6277	CVE-2015-6420	高危
Apache Struts 输入验证不当漏洞	输入验证不恰当	MPS-2016-3231	CVE-2016-1182	高危
Apache Struts 输入验证错误漏洞	输入验证不恰当	MPS-2016-3238	CVE-2015-0899	高危
多款Red Hat产品代码问题漏洞	反序列化	MPS-2017-12638	CVE-2015-7501	严重
Apache Commons Beanutils 存在不可信数据的反序列化漏洞	反序列化	MPS-2019-10233	CVE-2019-10086	高危
dom4j SaxReader函数存在 XXE 漏洞	XXE	MPS-2020-6967	CVE-2020-10683	严重
Apache Velocity	XSS	MPS-2021-2975	CVE-2020-13959	中危
Apache Velocity 存在任意代码执行	代码注入	MPS-2021-3061	CVE-2020-13936	高危
Apache Commons Collections 远程代码执行漏洞	反序列化	MPS-2022-12767		高危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
org.apache.velocity:velocity	1.6.2		间接依赖	建议修复
commons-beanutils:commons-beanutils	1.7.0	1.9.4	间接依赖	建议修复
org.apache.struts:struts-core	1.3.8	2.3.16.3	间接依赖	建议修复
dom4j:dom4j	1.1		间接依赖	建议修复
commons-collections:commons-collections	3.2.1	3.2.2	直接依赖	建议修复
org.apache.velocity:velocity-tools	2.0		直接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
Apache-2.0	14	低
自定义许可证	1	低
MPL-1.1	1	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
org.apache.velocity:velocity	1.6.2	间接依赖	maven
org.apache.struts:struts-taglib	1.3.8	间接依赖	maven
commons-collections:commons-collections	3.2.1	直接依赖	maven
sslext:sslext	1.2-0	间接依赖	maven
commons-beanutils:commons-beanutils	1.7.0	间接依赖	maven
jboss:javassist	3.0	直接依赖	maven
org.apache.velocity:velocity-tools	2.0	直接依赖	maven
commons-validator:commons-validator	1.3.1	间接依赖	maven
commons-lang:commons-lang	2.4	间接依赖	maven
dom4j:dom4j	1.1	间接依赖	maven
commons-digester:commons-digester	1.8	间接依赖	maven
org.apache.struts:struts-tiles	1.3.8	间接依赖	maven
oro:oro	2.0.8	间接依赖	maven
commons-logging:commons-logging	1.1.1	直接依赖	maven
velocity:velocity	1.4	直接依赖	maven
org.apache.commons:commons-lang3	3.1	直接依赖	maven
commons-chain:commons-chain	1.1	间接依赖	maven
org.apache.struts:struts-core	1.3.8	间接依赖	maven
velocity:velocity-dep	1.4	间接依赖	maven
antlr:antlr	2.7.2	间接依赖	maven

SBOM 开源软件漏洞

赞 (0)

xiedantibu/xCombine 软件分析报告

上一篇 2023年11月22日

ximencx/FadeActionBar 软件分析报告

下一篇 2023年11月22日

hollance/MHRotaryKnob 软件分析报告

基础信息项目名称：hollance/MHRotaryKnob 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1718636649994043392/1718636650031792128 此报告由Murphyse…

软件分析 2023年10月29日
00
davidman/DHSmartScreenshot 软件分析报告

基础信息项目名称：davidman/DHSmartScreenshot 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717076370341363712/1717076370429444096 此报告由Mur…

软件分析 2023年10月25日
00
elabs/serenade.js 软件分析报告

基础信息项目名称：elabs/serenade.js 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717416411752169472/1717416411789918208 此报告由Murphysec提供 …

软件分析 2023年10月26日
00
xopz/ApiChassis 软件分析报告

基础信息项目名称：xopz/ApiChassis 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721579210252251136/1721579210294194176 此报告由Murphysec提供漏洞…

软件分析 2023年11月7日
00
wulijun/php-the-right-way 软件分析报告

基础信息项目名称：wulijun/php-the-right-way 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721488404512333824/1721488404625580032 此报告由Murp…

软件分析 2023年11月6日
00