koocyton/reactor-guice 软件分析报告

基础信息

项目名称:koocyton/reactor-guice

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1721345369156648960/1731140386636128256

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
Google Guava 访问控制错误漏洞 关键资源权限分配不当 MPS-2020-17429 CVE-2020-8908 低危
mysql:mysql-connector-java XXE MPS-2020-38350 CVE-2021-2471 中危
Netty 在具有不安全权限的目录中创建临时文件 MPS-2021-1580 CVE-2021-21290 中危
Google protobuf DOS漏洞 不正确的行为次序 MPS-2021-19066 CVE-2021-22569 中危
io.netty:netty-codec-http2 HTTP请求走私 MPS-2021-2435 CVE-2021-21295 中危
Netty Bzip2Decoder 存在资源穷尽漏洞 拒绝服务 MPS-2021-28116 CVE-2021-37136 高危
Netty 存在资源穷尽漏洞 拒绝服务 MPS-2021-28117 CVE-2021-37137 高危
io.netty:netty-codec-http2 HTTP请求走私 MPS-2021-3565 CVE-2021-21409 中危
Oracle MySQL 的 MySQL Connectors 存在授权不当漏洞 授权机制不恰当 MPS-2021-36587 CVE-2022-21363 中危
Netty HTTP请求走私 MPS-2021-36922 CVE-2021-43797 中危
io.netty:netty-handler 存在证书验证不恰当漏洞 证书验证不恰当 MPS-2022-12067 中危
com.google.code.gson:gson 存在BigDecimal拒绝服务漏洞 反序列化 MPS-2022-12287 CVE-2022-25647 高危
FasterXML Jackson-databind 拒绝服务漏洞 拒绝服务 MPS-2022-12500 中危
Netty 存在信息泄露漏洞 将资源暴露给错误范围 MPS-2022-3790 CVE-2022-24823 中危
Netty 解释冲突 MPS-2022-58552 CVE-2022-41915 中危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞 拒绝服务 MPS-2022-58653 CVE-2022-42003 中危
FasterXML jackson-databind 小于2.13.4拒绝服务漏洞 拒绝服务 MPS-2022-58654 CVE-2022-42004 中危
IBM WebSphere Application Server Liberty 存在拒绝服务漏洞 对因果或异常条件的不恰当检查 MPS-2022-59813 CVE-2022-3509 中危
FasterXML jackson-databind 拒绝服务漏洞 越界写入 MPS-2022-6242 CVE-2020-36518 高危
jackson-databind 拒绝服务漏洞 拒绝服务 MPS-2023-8438 CVE-2021-46877 中危
Netty 资源管理错误漏洞 不加限制或调节的资源分配 MPS-9u07-bna1 CVE-2023-34462 中危
Reactor Netty 安全漏洞 MPS-ao16-mbp5 CVE-2023-34054 中危
Hot Rod 安全漏洞 证书验证不恰当 MPS-b7oj-adm3 CVE-2023-4586 高危
Guava 创建拥有不安全权限的临时文件 MPS-mfku-xzh3 CVE-2023-2976 中危
【存在争议】FasterXML jackson-databind 代码问题漏洞 不加限制或调节的资源分配 MPS-z1bx-p8y2 CVE-2023-35116 中危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
io.netty:netty-handler 4.1.53.Final 间接依赖 建议修复
com.fasterxml.jackson.core:jackson-databind 2.11.3 直接依赖 建议修复
com.google.protobuf:protobuf-java 3.13.0 3.16.3 直接依赖 建议修复
mysql:mysql-connector-java 8.0.22 8.0.28 直接依赖 建议修复
io.netty:netty-codec 4.1.53.Final 4.1.68.Final 间接依赖 建议修复
com.google.guava:guava 27.1-jre 32.0.0-jre 间接依赖 建议修复
io.netty:netty-codec-http 4.1.53.Final 4.1.86.final 间接依赖 可选修复
io.projectreactor.netty:reactor-netty-core 1.0.0 1.0.39 间接依赖 可选修复
com.google.code.gson:gson 2.8.6 2.8.9 直接依赖 可选修复
io.netty:netty-common 4.1.53.Final 4.1.77.Final 间接依赖 可选修复
io.netty:netty-transport-native-epoll 4.1.53.Final 4.1.59.Final 间接依赖 可选修复
io.projectreactor.netty:reactor-netty-http 1.0.0 1.0.39 间接依赖 可选修复
io.netty:netty-codec-http2 4.1.53.Final 4.1.61.Final 间接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
Apache-2.0 47
MIT 5
BSD-3-Clause 4
自定义许可证 4
EPL-2.0 1
EPL-1.0 1
LGPL-2.1 1
MPL-1.1 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
io.projectreactor.netty:reactor-netty-core 1.0.0 间接依赖 maven
com.google.code.gson:gson 2.8.6 直接依赖 maven
com.google.guava:guava 27.1-jre 间接依赖 maven
io.netty:netty-codec 4.1.53.Final 间接依赖 maven
org.slf4j:slf4j-api 1.7.25 间接依赖 maven
org.apache.commons:commons-pool2 2.6.2 间接依赖 maven
io.netty:netty-codec-http 4.1.53.Final 间接依赖 maven
io.netty:netty-common 4.1.53.Final 间接依赖 maven
com.esotericsoftware:reflectasm 1.11.8 间接依赖 maven
io.projectreactor.netty:reactor-netty-http-brave 1.0.0 间接依赖 maven
org.mybatis:mybatis-guice 3.12 直接依赖 maven
io.zipkin.reporter2:zipkin-reporter 2.15.2 间接依赖 maven
org.hamcrest:hamcrest-core 1.3 间接依赖 maven
io.zipkin.reporter2:zipkin-reporter-brave 2.15.2 间接依赖 maven
com.fasterxml.jackson.core:jackson-databind 2.11.3 直接依赖 maven
com.zaxxer:HikariCP 3.4.5 直接依赖 maven
io.zipkin.brave:brave-instrumentation-http 5.12.7 间接依赖 maven
com.google.guava:failureaccess 1.0.1 间接依赖 maven
com.esotericsoftware:kryo 5.0.0 直接依赖 maven
io.netty:netty-codec-http2 4.1.53.Final 间接依赖 maven
com.google.code.findbugs:jsr305 3.0.2 间接依赖 maven
org.objenesis:objenesis 3.0.1 间接依赖 maven
org.mybatis:mybatis 3.5.6 直接依赖 maven
com.esotericsoftware:minlog 1.3.1 间接依赖 maven
com.google.guava:listenablefuture 9999.0-empty-to-avoid-conflict-with-guava 间接依赖 maven
javax.inject:javax.inject 1 间接依赖 maven
io.projectreactor.netty:reactor-netty 1.0.0 直接依赖 maven
com.fasterxml.jackson.core:jackson-core 2.11.3 直接依赖 maven
org.unbescape:unbescape 1.1.6.RELEASE 间接依赖 maven
io.netty:netty-transport 4.1.53.Final 间接依赖 maven
org.slf4j:slf4j-nop 1.7.30 直接依赖 maven
ognl:ognl 3.1.12 间接依赖 maven
io.netty:netty-resolver-dns 4.1.53.Final 间接依赖 maven
redis.clients:jedis 3.3.0 直接依赖 maven
io.netty:netty-resolver 4.1.53.Final 间接依赖 maven
io.netty:netty-codec-dns 4.1.53.Final 间接依赖 maven
org.checkerframework:checker-qual 2.5.2 间接依赖 maven
io.netty:netty-handler-proxy 4.1.53.Final 间接依赖 maven
io.netty:netty-transport-native-unix-common 4.1.53.Final 间接依赖 maven
io.zipkin.zipkin2:zipkin 2.21.7 间接依赖 maven
com.google.errorprone:error_prone_annotations 2.2.0 间接依赖 maven
io.projectreactor.netty:reactor-netty-http 1.0.0 间接依赖 maven
com.google.protobuf:protobuf-java 3.13.0 直接依赖 maven
io.projectreactor:reactor-core 3.4.0 间接依赖 maven
org.freemarker:freemarker 2.3.30 直接依赖 maven
org.codehaus.mojo:animal-sniffer-annotations 1.17 间接依赖 maven
javax.ws.rs:javax.ws.rs-api 2.1.1 直接依赖 maven
io.netty:netty-transport-native-epoll 4.1.53.Final 间接依赖 maven
mysql:mysql-connector-java 8.0.22 直接依赖 maven
org.reactivestreams:reactive-streams 1.0.3 间接依赖 maven
aopalliance:aopalliance 1.0 间接依赖 maven
io.netty:netty-codec-socks 4.1.53.Final 间接依赖 maven
io.netty:netty-handler 4.1.53.Final 间接依赖 maven
com.google.j2objc:j2objc-annotations 1.1 间接依赖 maven
org.attoparser:attoparser 2.0.5.RELEASE 间接依赖 maven
io.netty:netty-buffer 4.1.53.Final 间接依赖 maven
io.zipkin.brave:brave 5.12.7 间接依赖 maven
com.google.inject:guice 4.2.3 直接依赖 maven
junit:junit 4.13.1 直接依赖 maven
com.fasterxml.jackson.core:jackson-annotations 2.11.3 直接依赖 maven
org.javassist:javassist 3.20.0-GA 间接依赖 maven
org.thymeleaf:thymeleaf 3.0.11.RELEASE 直接依赖 maven
(0)
上一篇 2023年12月3日
下一篇 2023年12月3日

相关推荐

  • JiHong88/SunEditor 软件分析报告

    基础信息 项目名称:JiHong88/SunEditor 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721309143154327552/1729753996480438272 此报告由Murphysec提供…

    软件分析 2023年11月29日
    0
  • wxphp/wxphp 软件分析报告

    基础信息 项目名称:wxphp/wxphp 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1728685380397916160/1728685380527939584 此报告由Murphysec提供 漏洞列表 暂…

    软件分析 2023年11月26日
    0
  • chenglou/RCSS 软件分析报告

    基础信息 项目名称:chenglou/RCSS 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1716640513372504064/1716640514525937664 此报告由Murphysec提供 漏洞列表…

    软件分析 2023年10月24日
    0
  • feedbin/feedbin 软件分析报告

    基础信息 项目名称:feedbin/feedbin 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1717761369608683520/1717761371970076672 此报告由Murphysec提供 漏洞…

    软件分析 2023年10月27日
    0
  • gradle/gradle 软件分析报告

    基础信息 项目名称:gradle/gradle 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721246460275589120/1723689630234005504 此报告由Murphysec提供 漏洞列表…

    软件分析 2023年11月12日
    0