Hugobros3/chunkstories 软件分析报告

基础信息

项目名称:Hugobros3/chunkstories

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1721266305306021888/1729674173657604096

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
QOS.ch Logback SocketServer和ServerSocketReceiver组件代码问题漏洞 反序列化 MPS-2017-2574 CVE-2017-5929 严重
Apache Batik SSRF MPS-2020-16977 CVE-2019-17566 高危
Apache XmlGraphics Commons SSRF MPS-2021-2568 CVE-2020-11988 高危
Quality Open Software logback JNDI注入漏洞 反序列化 MPS-2021-33911 CVE-2021-42550 中危
Apache Commons IO 存在路径遍历漏洞 路径遍历 MPS-2021-4531 CVE-2021-29425 中危
com.google.code.gson:gson 存在BigDecimal拒绝服务漏洞 反序列化 MPS-2022-12287 CVE-2022-25647 高危
Logback SSL证书校验不当漏洞 中间人攻击 MPS-2022-12411 中危
Apache Xalan 存在整数截断漏洞 数值截断错误 MPS-2022-19461 CVE-2022-34169 中危
Apache Batik 信息泄露漏洞 未授权敏感信息泄露 MPS-2022-55649 CVE-2022-38398 中危
Apache Batik 存在 SSRF 漏洞 未授权敏感信息泄露 MPS-2022-55890 CVE-2022-38648 中危
Apache Batik DefaultScriptSecurity 函数存在 SSRF 漏洞 未授权敏感信息泄露 MPS-2022-57733 CVE-2022-40146 中危
Apache Batik visibleToScripts 信息泄露漏洞 未授权敏感信息泄露 MPS-2022-59716 CVE-2022-42890 中危
Apache XML Graphics Batik SSRF MPS-2022-63578 CVE-2022-44729 中危
Apache XML Graphics Batik 代码问题漏洞 SSRF MPS-2022-63579 CVE-2022-44730 中危
hjson-java 安全漏洞 代码注入 MPS-4gkh-iznr CVE-2023-39685 高危
hjson-java 缓冲区错误漏洞 越界写入 MPS-r24q-xac3 CVE-2023-34620 高危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
org.apache.xmlgraphics:batik-transcoder 1.10 1.17 间接依赖 强烈建议修复
org.apache.xmlgraphics:batik-bridge 1.10 1.17 间接依赖 强烈建议修复
ch.qos.logback:logback-core 1.0.13 1.2.8 直接依赖 建议修复
org.apache.xmlgraphics:xmlgraphics-commons 2.3 2.6 间接依赖 建议修复
ch.qos.logback:logback-classic 1.0.13 1.2.0 直接依赖 建议修复
xalan:xalan 2.7.2 间接依赖 建议修复
org.apache.xmlgraphics:batik-svgrasterizer 1.10 1.13 间接依赖 建议修复
org.hjson:hjson 1.0.0 3.0.1 直接依赖 建议修复
com.google.code.gson:gson 2.8.5 2.8.9 直接依赖 可选修复
org.apache.xmlgraphics:batik-script 1.10 1.17 间接依赖 可选修复
commons-io:commons-io 2.6 2.7 间接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
Apache-2.0 41
EPL-1.0 3
BSD-3-Clause 8
MIT 5
BSD-2-Clause 1
自定义许可证 2

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
org.apache.xmlgraphics:batik-parser 1.10 间接依赖 maven
ch.qos.logback:logback-core 1.0.13 直接依赖 maven
org.lwjgl:lwjgl-opengl 3.3.2 直接依赖 maven
org.apache.xmlgraphics:batik-codec 1.10 间接依赖 maven
::api 直接依赖 maven
org.hjson:hjson 1.0.0 直接依赖 maven
guru.nidi:graphviz-java 0.8.0 直接依赖 maven
org.jetbrains.kotlin:kotlin-stdlib-jdk8 1.8.10 直接依赖 maven
org.lwjgl:lwjgl-vulkan 3.3.2 直接依赖 maven
org.apache.xmlgraphics:batik-svgrasterizer 1.10 间接依赖 maven
commons-io:commons-io 2.6 间接依赖 maven
org.fusesource.jansi:jansi 1.15 直接依赖 maven
org.lwjgl:lwjgl-openal 3.3.2 直接依赖 maven
org.apache.xmlgraphics:batik-util 1.10 间接依赖 maven
ch.qos.logback:logback-classic 1.0.13 直接依赖 maven
org.jetbrains:annotations 13.0 间接依赖 maven
com.google.code.gson:gson 2.8.5 直接依赖 maven
org.lwjgl:lwjgl-glfw 3.3.2 直接依赖 maven
org.apache.commons:commons-exec 1.3 间接依赖 maven
com.eclipsesource.j2v8:j2v8 间接依赖 maven
org.jetbrains.kotlin:kotlin-stdlib 1.8.10 间接依赖 maven
org.jetbrains.kotlin:kotlin-stdlib-common 1.8.10 间接依赖 maven
com.googlecode.concurrent-locks:concurrent-locks 1.0.0 直接依赖 maven
org.apache.xmlgraphics:batik-svg-dom 1.10 间接依赖 maven
org.apache.xmlgraphics:batik-rasterizer 1.10 间接依赖 maven
org.slf4j:slf4j-api 1.7.25 直接依赖 maven
org.apache.xmlgraphics:batik-anim 1.10 间接依赖 maven
org.apache.xmlgraphics:batik-svggen 1.10 间接依赖 maven
com.google.code.findbugs:jsr305 3.0.2 间接依赖 maven
xml-apis:xml-apis-ext 1.3.04 间接依赖 maven
::server 直接依赖 maven
org.slf4j:jul-to-slf4j 1.7.25 间接依赖 maven
org.apache.xmlgraphics:batik-constants 1.10 间接依赖 maven
commons-logging:commons-logging 1.0.4 间接依赖 maven
org.jetbrains.kotlin:kotlin-stdlib-jdk7 1.8.10 间接依赖 maven
org.lwjgl:lwjgl 3.3.2 直接依赖 maven
graphics.scenery:spirvcrossj 0.5.0-1.1.85 直接依赖 maven
xml-apis:xml-apis 1.3.04 间接依赖 maven
com.google.code.gson:gson 2.8.9 直接依赖 maven
xalan:serializer 2.7.2 间接依赖 maven
org.lwjgl:lwjgl-assimp 3.3.2 直接依赖 maven
org.apache.xmlgraphics:batik-dom 1.10 间接依赖 maven
org.apache.xmlgraphics:batik-ext 1.10 间接依赖 maven
org.apache.xmlgraphics:batik-awt-util 1.10 间接依赖 maven
org.apache.xmlgraphics:batik-css 1.10 间接依赖 maven
org.jetbrains.kotlin:kotlin-reflect 1.8.10 直接依赖 maven
org.apache.xmlgraphics:batik-bridge 1.10 间接依赖 maven
org.apache.xmlgraphics:batik-script 1.10 间接依赖 maven
com.carrotsearch:hppc 0.7.2 直接依赖 maven
xalan:xalan 2.7.2 间接依赖 maven
org.slf4j:jcl-over-slf4j 1.7.25 间接依赖 maven
org.apache.xmlgraphics:batik-xml 1.10 间接依赖 maven
::common 直接依赖 maven
org.l33tlabs.twl:pngdecoder 1.0 直接依赖 maven
com.googlecode.soundlibs:jorbis 0.0.17.4 直接依赖 maven
org.apache.xmlgraphics:batik-transcoder 1.10 间接依赖 maven
net.jpountz.lz4:lz4 1.3.0 直接依赖 maven
org.lwjgl:lwjgl-stb 3.3.2 直接依赖 maven
org.lwjgl:lwjgl-tinyfd 3.3.2 直接依赖 maven
org.apache.xmlgraphics:batik-i18n 1.10 间接依赖 maven
org.apache.xmlgraphics:batik-gvt 1.10 间接依赖 maven
org.apache.xmlgraphics:xmlgraphics-commons 2.3 间接依赖 maven
net.arnx:nashorn-promise 0.1.1 间接依赖 maven
(0)
上一篇 2023年11月29日
下一篇 2023年11月29日

相关推荐

  • Jimmy-Shi/bean-query 软件分析报告

    基础信息 项目名称:Jimmy-Shi/bean-query 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721309448029896704/1724223143167877120 此报告由Murphysec…

    软件分析 2023年11月14日
    0
  • dotnet/command-line-api 软件分析报告

    基础信息 项目名称:dotnet/command-line-api 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1717234910636933120/1717234910704041984 此报告由Murphy…

    软件分析 2023年10月26日
    0
  • cesanta/iot 软件分析报告

    基础信息 项目名称:cesanta/iot 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1716612365377388544/1716612366069448704 此报告由Murphysec提供 漏洞列表 暂…

    软件分析 2023年10月24日
    0
  • caicloud/cyclone 软件分析报告

    基础信息 项目名称:caicloud/cyclone 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1722277489187778560/1722277489271664640 此报告由Murphysec提供 漏…

    软件分析 2023年11月8日
    0
  • amberframework/granite 软件分析报告

    基础信息 项目名称:amberframework/granite 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1715756799469862912/1715756799654412288 此报告由Murphys…

    软件分析 2023年10月23日
    0