apache/incubator-toree 软件分析报告

2023年12月2日上午1:25 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：apache/incubator-toree

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1730635788382588928/1730635788500029440

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
Google Guava 不可信数据的反序列化漏洞	不加限制或调节的资源分配	MPS-2018-5515	CVE-2018-10237	中危
Google Guava 访问控制错误漏洞	关键资源权限分配不当	MPS-2020-17429	CVE-2020-8908	低危
Spring Framework	日志输出的转义处理不恰当	MPS-2021-18854	CVE-2021-22060	中危
Pivotal Spring Framework 日志注入漏洞	日志输出的转义处理不恰当	MPS-2021-18890	CVE-2021-22096	中危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞	拒绝服务	MPS-2022-58653	CVE-2022-42003	中危
Spring 处理 SpEL 存在拒绝服务漏洞	拒绝服务	MPS-2022-62833	CVE-2023-20861	中危
Lightbeed Akka Akka-http 安全漏洞		MPS-8hzc-ex6k	CVE-2023-31442	高危
Guava	创建拥有不安全权限的临时文件	MPS-mfku-xzh3	CVE-2023-2976	中危
【存在争议】FasterXML jackson-databind 代码问题漏洞	不加限制或调节的资源分配	MPS-z1bx-p8y2	CVE-2023-35116	中危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
com.google.guava:guava	14.0.1	32.0.0-jre	间接依赖	建议修复
com.fasterxml.jackson.core:jackson-databind	2.13.4.2		间接依赖	建议修复
com.typesafe.akka:akka-actor_2.12	2.6.21	2.8.1	间接依赖	可选修复
org.springframework:spring-core	5.2.2.RELEASE	5.2.23.RELEASE	间接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
Apache-2.0	13	低
BSD-2-Clause	1	低
MIT	3	低
MPL-2.0	1	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
io.get-coursier:coursier-cache_2.12	1.0.3	间接依赖	maven
eu.neilalexander:jnacl	1.0.0	间接依赖	maven
org.apache.commons:commons-exec	1.3	间接依赖	maven
net.sf.jopt-simple:jopt-simple	4.9	间接依赖	maven
com.typesafe:config	1.4.2	间接依赖	maven
org.slf4j:slf4j-api	1.7.32	间接依赖	maven
org.slf4j:slf4j-api	1.7.36	间接依赖	maven
com.fasterxml.jackson.core:jackson-databind	2.13.4.2	间接依赖	maven
io.get-coursier:coursier_2.12	1.0.3	间接依赖	maven
com.typesafe.play:play-json_2.12	2.7.4	间接依赖	maven
com.typesafe.akka:akka-slf4j_2.12	2.6.21	间接依赖	maven
org.apache.toree.kernel:toree-kernel_2.12	0.0.0-dev-SNAPSHOT	间接依赖	maven
org.apache.toree.kernel:toree_2.12	0.0.0-dev-SNAPSHOT	间接依赖	maven
org.apache.toree.kernel:toree-scala-interpreter_2.12	0.0.0-dev-SNAPSHOT	间接依赖	maven
org.apache.toree.kernel:toree-kernel-api_2.12	0.0.0-dev-SNAPSHOT	间接依赖	maven
com.typesafe.akka:akka-actor_2.12	2.6.21	间接依赖	maven
org.springframework:spring-jcl	5.2.2.RELEASE	间接依赖	maven
org.apache.toree.kernel:toree-plugins_2.12	0.0.0-dev-SNAPSHOT	间接依赖	maven
org.apache.toree.kernel:toree-macros_2.12	0.0.0-dev-SNAPSHOT	间接依赖	maven
org.apache.toree.kernel:toree-client_2.12	0.0.0-dev-SNAPSHOT	间接依赖	maven
com.github.jupyter:jvm-repr	0.1.0	间接依赖	maven
org.apache.toree.kernel:toree-protocol_2.12	0.0.0-dev-SNAPSHOT	间接依赖	maven
org.apache.toree.kernel:toree-communication_2.12	0.0.0-dev-SNAPSHOT	间接依赖	maven
org.zeromq:jeromq	0.5.3	间接依赖	maven
org.clapper:classutil_2.12	1.5.1	间接依赖	maven
com.google.guava:guava	14.0.1	间接依赖	maven
org.apache.toree.kernel:toree-sql-interpreter_2.12	0.0.0-dev-SNAPSHOT	间接依赖	maven
org.scala-lang:scala-reflect	2.12.15	间接依赖	maven
org.springframework:spring-core	5.2.2.RELEASE	间接依赖	maven

SBOM 开源软件漏洞

赞 (0)

apache/commons-weaver 软件分析报告

上一篇 2023年12月2日

apache/james-project 软件分析报告

下一篇 2023年12月2日

greenrobot/EventBus 软件分析报告

基础信息项目名称：greenrobot/EventBus 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721248323720970240/1726449293214572544 此报告由Murphysec提…

软件分析 2023年11月20日
00
dyne/Freecoin 软件分析报告

基础信息项目名称：dyne/Freecoin 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717353064968273920/1717353065622585344 此报告由Murphysec提供漏洞列表…

软件分析 2023年10月26日
00
bridgecrewio/AirIAM 软件分析报告

基础信息项目名称：bridgecrewio/AirIAM 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1722261957562626048/1722261957612957696 此报告由Murphysec提…

软件分析 2023年11月8日
00
encode/databases 软件分析报告

基础信息项目名称：encode/databases 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717451754727669760/1717451754798972928 此报告由Murphysec提供漏…

软件分析 2023年10月26日
00
YahooArchive/flux-router-component 软件分析报告

基础信息项目名称：YahooArchive/flux-router-component 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1720111836943667200/1720111836985610240…

软件分析 2023年11月3日
00