allwefantasy/mongomongo 软件分析报告

2023年11月22日下午9:55 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：allwefantasy/mongomongo

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1727324722336583680/1727324730729385984

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
Apache Struts 远程代码执行漏洞	输入验证不恰当	MPS-2014-2167	CVE-2014-0114	高危
Oracle MySQL Connectors组件SQL注入漏洞	SQL注入	MPS-2015-2026	CVE-2015-2575	中危
多款Cisco产品Apache Commons Collections库任意代码执行漏洞	反序列化	MPS-2015-6277	CVE-2015-6420	高危
多款Red Hat产品代码问题漏洞	反序列化	MPS-2017-12638	CVE-2015-7501	严重
Oracle MySQL Connectors 访问限制绕过漏洞	访问控制不当	MPS-2017-4684	CVE-2017-3523	高危
Oracle MySQL Connectors 安全漏洞	访问控制不当	MPS-2017-4744	CVE-2017-3586	中危
Oracle MySQL Connectors 安全漏洞	访问控制不当	MPS-2017-4746	CVE-2017-3589	低危
Oracle MySQL Connectors 访问控制错误漏洞	使用候选路径或通道进行的认证绕过	MPS-2018-13771	CVE-2018-3258	高危
Google Guava 不可信数据的反序列化漏洞	不加限制或调节的资源分配	MPS-2018-5515	CVE-2018-10237	中危
Apache Commons Beanutils 存在不可信数据的反序列化漏洞	反序列化	MPS-2019-10233	CVE-2019-10086	高危
SnakeYAML	拒绝服务	MPS-2019-16129	CVE-2017-18640	高危
Apache Log4j SocketServer反序列化漏洞	反序列化	MPS-2019-17271	CVE-2019-17571	严重
Oracle MySQL Connectors 输入验证错误漏洞	使用不兼容类型访问资源（类型混淆）	MPS-2019-4430	CVE-2019-2692	中危
Google Guava 访问控制错误漏洞	关键资源权限分配不当	MPS-2020-17429	CVE-2020-8908	低危
mysql:mysql-connector-java	XXE	MPS-2020-38350	CVE-2021-2471	中危
Apache Log4j2 SmtpAppender证书验证不当漏洞	证书验证不恰当	MPS-2020-6684	CVE-2020-9488	低危
Oracle MySQL 的 MySQL Connectors 存在授权不当漏洞	授权机制不恰当	MPS-2021-36587	CVE-2022-21363	中危
Apache Log4j JMSAppender反序列化漏洞	反序列化	MPS-2021-38359	CVE-2021-4104	高危
Apache Commons Collections 远程代码执行漏洞	反序列化	MPS-2022-12767		高危
Apache Log4j JDBCAppender SQL注入漏洞	SQL注入	MPS-2022-1444	CVE-2022-23305	严重
Apache Log4j Chainsaw反序列化漏洞	反序列化	MPS-2022-1445	CVE-2022-23307	高危
Apache Log4j 反序列化漏洞	反序列化	MPS-2022-1446	CVE-2022-23302	高危
snakeYAML	拒绝服务	MPS-2022-5144	CVE-2022-25857	高危
snakeYAML	栈缓冲区溢出	MPS-2022-56040	CVE-2022-38751	中危
snakeYAML	栈缓冲区溢出	MPS-2022-56041	CVE-2022-38752	低危
snakeYAML	栈缓冲区溢出	MPS-2022-56051	CVE-2022-38750	中危
snakeYAML	拒绝服务	MPS-2022-56081	CVE-2022-38749	中危
SnakeYAML	栈缓冲区溢出	MPS-2022-58478	CVE-2022-41854	中危
snakeYAML	反序列化	MPS-2022-9425	CVE-2022-1471	高危
Guava	创建拥有不安全权限的临时文件	MPS-mfku-xzh3	CVE-2023-2976	中危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
commons-beanutils:commons-beanutils	1.8.0	1.9.4	间接依赖	强烈建议修复
mysql:mysql-connector-java	5.1.6	8.0.28	间接依赖	建议修复
com.google.guava:guava	15.0	32.0.0-jre	间接依赖	建议修复
org.yaml:snakeyaml	1.9	2.0	间接依赖	建议修复
commons-collections:commons-collections	3.2.1	3.2.2	间接依赖	建议修复
log4j:log4j	1.2.17		间接依赖	建议修复

许可证风险

许可证类型	相关组件	许可证风险
自定义许可证	4	低
Apache-2.0	16	低
LGPL-2.1	1	中
MPL-1.1	1	低
MIT	3	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
aopalliance:aopalliance	1.0	间接依赖	maven
com.google.inject:guice	3.0	间接依赖	maven
com.google.inject.extensions:guice-assistedinject	3.0	间接依赖	maven
joda-time:joda-time	2.3	间接依赖	maven
javassist:javassist	3.12.1.GA	间接依赖	maven
org.slf4j:slf4j-log4j12	1.6.1	间接依赖	maven
com.google.inject.extensions:guice-multibindings	3.0	间接依赖	maven
net.sf.ezmorph:ezmorph	1.0.6	间接依赖	maven
org.mongodb:mongo-java-driver	2.11.4	直接依赖	maven
com.google.guava:guava	15.0	间接依赖	maven
com.mycila.com.google.inject:guice	3.0-20100927	间接依赖	maven
commons-lang:commons-lang	2.5	间接依赖	maven
log4j:log4j	1.2.17	间接依赖	maven
commons-collections:commons-collections	3.2.1	间接依赖	maven
org.slf4j:jcl-over-slf4j	1.6.1	间接依赖	maven
jline:jline	0.9.94	间接依赖	maven
commons-logging:commons-logging	1.1.1	间接依赖	maven
org.slf4j:slf4j-api	1.6.1	间接依赖	maven
net.csdn:csdn-common	1.0	直接依赖	maven
net.sf.json-lib:json-lib	2.4	间接依赖	maven
mysql:mysql-connector-java	5.1.6	间接依赖	maven
org.yaml:snakeyaml	1.9	间接依赖	maven
junit:junit	3.8.1	间接依赖	maven
javax.inject:javax.inject	1	间接依赖	maven
commons-beanutils:commons-beanutils	1.8.0	间接依赖	maven

SBOM 开源软件漏洞

赞 (0)

alinebastos/dev-practice 软件分析报告

上一篇 2023年11月22日

alibaba/testable-mock 软件分析报告

下一篇 2023年11月22日

jroimartin/gocui 软件分析报告

基础信息项目名称：jroimartin/gocui 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721322401256996864/1729816973141303296 此报告由Murphysec提供漏…

软件分析 2023年11月29日
00
feedreader/planet.rb 软件分析报告

基础信息项目名称：feedreader/planet.rb 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717761461468135424/1717761462810312704 此报告由Murphysec…

软件分析 2023年10月27日
00
eafer/rdrview 软件分析报告

基础信息项目名称：eafer/rdrview 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717355549096017920/1717355550119428096 此报告由Murphysec提供漏洞列表…

软件分析 2023年10月26日
00
konloch/bytecode-viewer 软件分析报告

基础信息项目名称：konloch/bytecode-viewer 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1719523588461690880/1719523588625268736 此报告由Murphy…

软件分析 2023年11月1日
00
artalar/reatom 软件分析报告

基础信息项目名称：artalar/reatom 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716044942915977216/1716044943159246848 此报告由Murphysec提供漏洞列…

软件分析 2023年10月23日
00