xuan698400/xutils 软件分析报告

基础信息

项目名称:xuan698400/xutils

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1728708302214750208/1728708302277664768

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
Oracle MySQL Connectors组件SQL注入漏洞 SQL注入 MPS-2015-2026 CVE-2015-2575 中危
Oracle MySQL Connectors 访问限制绕过漏洞 访问控制不当 MPS-2017-4684 CVE-2017-3523 高危
Oracle MySQL Connectors 安全漏洞 访问控制不当 MPS-2017-4744 CVE-2017-3586 中危
Oracle MySQL Connectors 安全漏洞 访问控制不当 MPS-2017-4746 CVE-2017-3589 低危
Oracle MySQL Connectors 访问控制错误漏洞 使用候选路径或通道进行的认证绕过 MPS-2018-13771 CVE-2018-3258 高危
Fastjson 代码注入 MPS-2018-14062 CVE-2017-18349 严重
Apache POI XXE MPS-2019-13682 CVE-2019-12415 中危
​ hibernate-validator 存在跨站脚本(XSS)漏洞 XSS MPS-2019-14389 CVE-2019-10219 中危
SnakeYAML 拒绝服务 MPS-2019-16129 CVE-2017-18640 高危
Apache Tomcat 授权问题漏洞 会话固定 MPS-2019-16906 CVE-2019-17563 高危
Apache Tomcat 特权提升漏洞 权限管理不当 MPS-2019-16926 CVE-2019-12418 高危
Fastjson 使用外部可控制的输入来选择类或代码(不安全的反射) MPS-2019-28847 严重
Fastjson 拒绝服务 MPS-2019-28848 严重
Oracle MySQL Connectors 输入验证错误漏洞 使用不兼容类型访问资源(类型混淆) MPS-2019-4430 CVE-2019-2692 中危
Spring Framework 反序列化 MPS-2020-0057 CVE-2016-1000027 严重
Pivotal Spring Framework 下载代码缺少完整性检查 MPS-2020-0902 CVE-2020-5398 高危
Spring Framework CSRF 漏洞 CSRF MPS-2020-0927 CVE-2020-5397 中危
Pivotal Spring Framework 反射文件下载 (RFD) 漏洞 路径遍历 MPS-2020-13322 CVE-2020-5421 中危
MyBatis 反序列化 MPS-2020-14133 CVE-2020-26945 高危
Junit 信息泄露漏洞 不安全的临时文件 MPS-2020-15183 CVE-2020-15250 中危
Apache Tomcat HTTP请求走私漏洞 HTTP请求走私 MPS-2020-15344 CVE-2020-13943 中危
FasterXML jackson-databind 代码问题漏洞 XXE MPS-2020-17358 CVE-2020-25649 高危
Apache Tomcat 信息泄露漏洞 未授权敏感信息泄露 MPS-2020-17486 CVE-2020-17527 高危
Apache Tomcat 权限管理不当漏洞 权限管理不当 MPS-2020-2841 CVE-2020-1938 严重
mysql:mysql-connector-java XXE MPS-2020-38350 CVE-2021-2471 中危
Fastjson 使用外部可控制的输入来选择类或代码(不安全的反射) MPS-2020-39708 严重
Fastjson 反序列化 MPS-2020-40828 高危
hibernate-validator 存在输入验证错误漏洞 代码注入 MPS-2020-7077 CVE-2020-10693 中危
Apache Tomcat 远程代码执行漏洞 反序列化 MPS-2020-7626 CVE-2020-9484 高危
Apache Tomcat 拒绝服务漏洞 拒绝服务 MPS-2020-9541 CVE-2020-11996 高危
Apache XMLBeans XML实体扩展 MPS-2021-0600 CVE-2021-23926 严重
Apache Tomcat 授权问题漏洞 身份验证不当 MPS-2021-10264 CVE-2021-30640 中危
Apache Tomcat 信息泄露漏洞 未授权敏感信息泄露 MPS-2021-1722 CVE-2021-24122 中危
Spring Framework 日志输出的转义处理不恰当 MPS-2021-18854 CVE-2021-22060 中危
Pivotal Spring Framework 日志注入漏洞 日志输出的转义处理不恰当 MPS-2021-18890 CVE-2021-22096 中危
Apache Tomcat 信息泄露漏洞 HTTP请求走私 MPS-2021-2309 CVE-2021-25122 高危
Apache Tomcat 远程代码执行漏洞 代码注入 MPS-2021-2466 CVE-2021-25329 高危
Alibaba Druid 目录遍历漏洞 路径遍历 MPS-2021-25327 CVE-2021-33800 高危
Apache Tomcat 拒绝服务漏洞 拒绝服务 MPS-2021-31848 CVE-2021-41079 高危
Quality Open Software logback JNDI注入漏洞 反序列化 MPS-2021-33911 CVE-2021-42550 中危
Oracle MySQL 的 MySQL Connectors 存在授权不当漏洞 授权机制不恰当 MPS-2021-36587 CVE-2022-21363 中危
Apache Tomcat 条件竞争漏洞 竞争条件 MPS-2021-37218 CVE-2021-43980 低危
Spring Framework权限许可和访问控制问题漏洞 权限管理不当 MPS-2021-7485 CVE-2021-22118 高危
Apache Tomcat 环境问题漏洞 HTTP请求走私 MPS-2021-9711 CVE-2021-33037 中危
Vmware Spring Framework 安全漏洞 不加限制或调节的资源分配 MPS-2022-1080 CVE-2022-22950 中危
Pivotal Spring Framework 安全限制绕过漏洞 大小写敏感处理不恰当 MPS-2022-1098 CVE-2022-22968 中危
Spring Framework spring-beans 存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2022-1101 CVE-2022-22970 中危
Fastjson 反序列化 MPS-2022-11320 CVE-2022-25845 高危
commons-codec:commons-codec 存在信息泄露漏洞 未授权敏感信息泄露 MPS-2022-11853 低危
Logback SSL证书校验不当漏洞 中间人攻击 MPS-2022-12411 中危
FasterXML Jackson-databind 拒绝服务漏洞 拒绝服务 MPS-2022-12500 中危
Pivotal Spring Framework simpleMatch 方法存在拒绝服务漏洞 拒绝服务 MPS-2022-16617 低危
snakeYAML 拒绝服务 MPS-2022-5144 CVE-2022-25857 高危
snakeYAML 栈缓冲区溢出 MPS-2022-56040 CVE-2022-38751 中危
snakeYAML 栈缓冲区溢出 MPS-2022-56041 CVE-2022-38752 低危
snakeYAML 栈缓冲区溢出 MPS-2022-56051 CVE-2022-38750 中危
snakeYAML 拒绝服务 MPS-2022-56081 CVE-2022-38749 中危
SnakeYAML 栈缓冲区溢出 MPS-2022-58478 CVE-2022-41854 中危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞 拒绝服务 MPS-2022-58653 CVE-2022-42003 中危
FasterXML jackson-databind 小于2.13.4拒绝服务漏洞 拒绝服务 MPS-2022-58654 CVE-2022-42004 中危
FasterXML jackson-databind 拒绝服务漏洞 越界写入 MPS-2022-6242 CVE-2020-36518 高危
Spring 处理 SpEL 存在拒绝服务漏洞 拒绝服务 MPS-2022-62833 CVE-2023-20861 中危
Spring Expression 存在拒绝服务漏洞 拒绝服务 MPS-2022-62835 CVE-2023-20863 高危
Spring Boot 欢迎页功能拒绝服务风险 拒绝服务 MPS-2022-62855 CVE-2023-20883 高危
spring-boot 将资源暴露给错误范围 MPS-2022-6780 CVE-2022-27772 高危
spring-beans 远程代码执行漏洞(Spring4Shell) 表达式语言注入 MPS-2022-6820 CVE-2022-22965 严重
snakeYAML 反序列化 MPS-2022-9425 CVE-2022-1471 高危
jackson-databind 拒绝服务漏洞 拒绝服务 MPS-2023-8438 CVE-2021-46877 中危
Apache Tomcat http请求走私漏洞 输入验证不恰当 MPS-b5of-dwyh CVE-2023-45648 中危
Apache Tomcat 安全漏洞 清理环节不完整 MPS-hz9y-jtfe CVE-2023-42795 中危
Apache Tomcat FORM 重定向漏洞 跨站重定向 MPS-uy56-j8e4 CVE-2023-41080 低危
【存在争议】FasterXML jackson-databind 代码问题漏洞 不加限制或调节的资源分配 MPS-z1bx-p8y2 CVE-2023-35116 中危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
org.apache.tomcat.embed:tomcat-embed-core 9.0.27 9.0.81 间接依赖 强烈建议修复
com.alibaba:fastjson 1.1.41 1.2.83 直接依赖 强烈建议修复
com.fasterxml.jackson.core:jackson-databind 2.10.0 间接依赖 建议修复
mysql:mysql-connector-java 5.1.25 8.0.28 直接依赖 建议修复
com.alibaba:fastjson 1.2.62 1.2.83 直接依赖 建议修复
com.alibaba:druid 1.0.14 1.2.4 直接依赖 建议修复
org.apache.xmlbeans:xmlbeans 2.6.0 3.0.0 间接依赖 建议修复
ch.qos.logback:logback-core 1.2.3 1.2.8 间接依赖 建议修复
org.mybatis:mybatis 3.4.2 3.5.6 间接依赖 建议修复
com.alibaba:fastjson 1.2.66 1.2.83 直接依赖 建议修复
org.apache.poi:poi-ooxml 3.17 4.1.1 直接依赖 建议修复
org.springframework:spring-beans 5.2.0.RELEASE 5.2.22.RELEASE 间接依赖 建议修复
org.yaml:snakeyaml 1.25 2.0 间接依赖 建议修复
org.springframework:spring-context 4.1.5.RELEASE 5.2.21.RELEASE 直接依赖 建议修复
org.springframework:spring-context 5.2.0.RELEASE 5.2.21.RELEASE 间接依赖 建议修复
org.springframework.boot:spring-boot 2.2.0.RELEASE 2.2.11.RELEASE 间接依赖 建议修复
org.springframework:spring-web 5.2.0.RELEASE 6.0.0 间接依赖 建议修复
mysql:mysql-connector-java 5.1.39 8.0.28 直接依赖 建议修复
org.springframework:spring-beans 4.1.5.RELEASE 5.2.22.RELEASE 直接依赖 建议修复
org.springframework:spring-expression 4.1.5.RELEASE 5.2.24 间接依赖 可选修复
org.springframework.boot:spring-boot-autoconfigure 2.2.0.RELEASE 2.5.15 间接依赖 可选修复
org.springframework:spring-expression 5.2.0.RELEASE 5.2.24 间接依赖 可选修复
commons-codec:commons-codec 1.10 1.13 间接依赖 可选修复
org.springframework:spring-core 5.2.0.RELEASE 5.2.23.RELEASE 间接依赖 可选修复
org.hibernate.validator:hibernate-validator 6.0.17.Final 6.0.19.Final 间接依赖 可选修复
org.springframework:spring-webmvc 5.2.0.RELEASE 5.2.3.RELEASE 间接依赖 可选修复
junit:junit 4.12 4.13.1 直接依赖 可选修复
org.springframework:spring-core 4.1.5.RELEASE 5.2.23.RELEASE 间接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
EPL-2.0 1
MIT 7
Apache-2.0 67
自定义许可证 10
EPL-1.0 5

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
jakarta.annotation:jakarta.annotation-api 1.3.5 间接依赖 maven
net.sf.jopt-simple:jopt-simple 4.6 间接依赖 maven
stax:stax-api 1.0.1 间接依赖 maven
org.springframework:spring-tx 5.2.0.RELEASE 间接依赖 maven
org.springframework:spring-web 5.2.0.RELEASE 间接依赖 maven
org.apache.logging.log4j:log4j-api 2.12.1 间接依赖 maven
org.mybatis.spring.boot:mybatis-spring-boot-autoconfigure 1.2.0 间接依赖 maven
commons-logging:commons-logging 1.2 间接依赖 maven
org.springframework:spring-context 4.1.5.RELEASE 直接依赖 maven
com.xuan:extp-plugin2 1.0-SNAPSHOT 直接依赖 maven
org.springframework:spring-context-support 5.2.0.RELEASE 间接依赖 maven
org.springframework:spring-context-support 4.1.5.RELEASE 直接依赖 maven
redis.clients:jedis 3.1.0 间接依赖 maven
org.springframework:spring-webmvc 5.2.0.RELEASE 间接依赖 maven
org.springframework.boot:spring-boot-starter-jdbc 2.2.0.RELEASE 直接依赖 maven
org.hamcrest:hamcrest-core 2.1 间接依赖 maven
org.springframework:spring-context 5.2.0.RELEASE 间接依赖 maven
org.openjdk.jmh:jmh-generator-annprocess 1.19 直接依赖 maven
org.apache.logging.log4j:log4j-to-slf4j 2.12.1 间接依赖 maven
org.apache.poi:poi-ooxml 3.17 直接依赖 maven
org.apache.commons:commons-math3 3.2 间接依赖 maven
org.springframework.boot:spring-boot 2.2.0.RELEASE 间接依赖 maven
com.alibaba:fastjson 1.2.66 直接依赖 maven
junit:junit 4.12 直接依赖 maven
org.springframework.boot:spring-boot-starter 2.2.0.RELEASE 间接依赖 maven
org.openjdk.jmh:jmh-core 1.19 直接依赖 maven
com.xuan:moho 1.0 直接依赖 maven
org.yaml:snakeyaml 1.25 间接依赖 maven
jakarta.validation:jakarta.validation-api 2.0.1 间接依赖 maven
com.github.virtuald:curvesapi 1.04 间接依赖 maven
org.springframework.boot:spring-boot-starter-tomcat 2.2.0.RELEASE 间接依赖 maven
com.alibaba:fastjson 1.1.41 直接依赖 maven
commons-codec:commons-codec 1.13 间接依赖 maven
org.apache.commons:commons-pool2 2.7.0 间接依赖 maven
org.aspectj:aspectjweaver 1.9.4 间接依赖 maven
com.alibaba:fastjson 1.2.62 直接依赖 maven
com.fasterxml:classmate 1.3.4 间接依赖 maven
org.springframework:spring-test 4.1.5.RELEASE 直接依赖 maven
org.springframework.boot:spring-boot-starter-web 2.2.0.RELEASE 直接依赖 maven
mysql:mysql-connector-java 5.1.39 直接依赖 maven
org.springframework:spring-jdbc 5.2.0.RELEASE 间接依赖 maven
org.mybatis:mybatis 3.4.2 间接依赖 maven
com.fasterxml.jackson.datatype:jackson-datatype-jsr310 2.10.0 间接依赖 maven
org.springframework:spring-expression 4.1.5.RELEASE 间接依赖 maven
org.springframework:spring-aop 5.2.0.RELEASE 间接依赖 maven
com.zaxxer:HikariCP 3.4.1 间接依赖 maven
ch.qos.logback:logback-classic 1.2.3 间接依赖 maven
org.springframework:spring-beans 4.1.5.RELEASE 直接依赖 maven
com.xuan:mix 1.0 直接依赖 maven
com.alibaba:druid 1.0.14 直接依赖 maven
com.fasterxml.jackson.module:jackson-module-parameter-names 2.10.0 间接依赖 maven
aopalliance:aopalliance 1.0 间接依赖 maven
com.xuan:extp-framework-core 1.0-SNAPSHOT 直接依赖 maven
org.springframework.boot:spring-boot-starter-aop 2.2.0.RELEASE 直接依赖 maven
org.aspectj:aspectjweaver 1.9.1 直接依赖 maven
com.xuan:extp-framework-model 1.0-SNAPSHOT 直接依赖 maven
org.projectlombok:lombok 1.16.20 直接依赖 maven
asm:asm 3.3.1 间接依赖 maven
org.springframework.boot:spring-boot-autoconfigure 2.2.0.RELEASE 间接依赖 maven
org.apache.commons:commons-collections4 4.1 间接依赖 maven
org.slf4j:slf4j-api 1.7.25 间接依赖 maven
org.springframework.boot:spring-boot-starter-json 2.2.0.RELEASE 间接依赖 maven
commons-codec:commons-codec 1.10 间接依赖 maven
org.apache.xmlbeans:xmlbeans 2.6.0 间接依赖 maven
org.springframework:spring-expression 5.2.0.RELEASE 间接依赖 maven
org.jboss.logging:jboss-logging 3.4.1.Final 间接依赖 maven
mysql:mysql-connector-java 5.1.25 直接依赖 maven
org.hamcrest:hamcrest-core 1.3 间接依赖 maven
com.xuan:extp-platform-sdk 1.0-SNAPSHOT 直接依赖 maven
com.fasterxml.jackson.datatype:jackson-datatype-jdk8 2.10.0 间接依赖 maven
com.fasterxml.jackson.core:jackson-annotations 2.10.0 间接依赖 maven
com.fasterxml.jackson.core:jackson-databind 2.10.0 间接依赖 maven
org.springframework.boot:spring-boot-starter-logging 2.2.0.RELEASE 间接依赖 maven
com.xuan.xutils:tools-sql 1.0 直接依赖 maven
com.xuan:extp-plugin1 1.0-SNAPSHOT 直接依赖 maven
ch.qos.logback:logback-core 1.2.3 间接依赖 maven
org.springframework:spring-core 5.2.0.RELEASE 间接依赖 maven
org.apache.tomcat.embed:tomcat-embed-el 9.0.27 间接依赖 maven
com.fasterxml.jackson.core:jackson-core 2.10.0 间接依赖 maven
org.springframework.boot:spring-boot-starter-validation 2.2.0.RELEASE 间接依赖 maven
org.mybatis:mybatis-spring 1.3.1 间接依赖 maven
com.xuan.xutils:distributed-sequence 1.0 直接依赖 maven
org.apache.poi:poi-ooxml-schemas 3.17 间接依赖 maven
org.apache.tomcat.embed:tomcat-embed-websocket 9.0.27 间接依赖 maven
org.jboss.logging:jboss-logging 3.3.2.Final 间接依赖 maven
org.apache.tomcat.embed:tomcat-embed-core 9.0.27 间接依赖 maven
com.xuan.xutils:base 1.0 直接依赖 maven
org.springframework:spring-aop 4.1.5.RELEASE 间接依赖 maven
org.apache.commons:commons-pool2 2.4.2 间接依赖 maven
org.springframework:spring-core 4.1.5.RELEASE 间接依赖 maven
org.springframework:spring-beans 5.2.0.RELEASE 间接依赖 maven
cglib:cglib 2.2.2 直接依赖 maven
org.apache.poi:poi 3.17 间接依赖 maven
net.coobird:thumbnailator 0.4.8 直接依赖 maven
org.mybatis.spring.boot:mybatis-spring-boot-starter 1.2.0 直接依赖 maven
org.slf4j:jul-to-slf4j 1.7.28 间接依赖 maven
com.fasterxml:classmate 1.5.0 间接依赖 maven
org.hibernate.validator:hibernate-validator 6.0.17.Final 间接依赖 maven
redis.clients:jedis 2.9.0 直接依赖 maven
org.springframework:spring-jcl 5.2.0.RELEASE 间接依赖 maven
(0)
上一篇 2023年11月26日
下一篇 2023年11月26日

相关推荐

  • ymind/semantic-gitlog 软件分析报告

    基础信息 项目名称:ymind/semantic-gitlog 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1720236813249318912/1720236813526142976 此报告由Murphyse…

    软件分析 2023年11月3日
    0
  • gibbonCode/GIBBON 软件分析报告

    基础信息 项目名称:gibbonCode/GIBBON 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1718113791777751040/1718113791870025728 此报告由Murphysec提供 …

    软件分析 2023年10月28日
    0
  • Yalantis/Euclid 软件分析报告

    基础信息 项目名称:Yalantis/Euclid 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721633534200291328/1721633534242234368 此报告由Murphysec提供 漏洞…

    软件分析 2023年11月7日
    0
  • fastpack/fastpack 软件分析报告

    基础信息 项目名称:fastpack/fastpack 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721187827718361088/1728044110470144000 此报告由Murphysec提供 …

    软件分析 2023年11月24日
    0
  • ZHENFENG13/perfect-ssm 软件分析报告

    基础信息 项目名称:ZHENFENG13/perfect-ssm 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1727246700141039616/1727246700283645952 此报告由Murphys…

    软件分析 2023年11月22日
    0