基础信息
项目名称:jsptest/jsptest
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1721324068954210304/1731734269703184384
此报告由Murphysec提供
漏洞列表
漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
---|---|---|---|---|
Apache Tomcat 上下文参数错误 信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2008-0643 | CVE-2008-0002 | 中危 |
Apache Tomcat jsp/cal/cal2.jsp 跨站脚本攻击漏洞 | XSS | MPS-2009-1331 | CVE-2009-0781 | 中危 |
Apache Tomcat 信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2009-2701 | CVE-2009-0580 | 中危 |
Apache Tomcat 路径遍历漏洞 | 路径遍历 | MPS-2009-2907 | CVE-2008-5515 | 中危 |
Apache Tomcat 权限许可和访问控制问题漏洞 | 权限、特权和访问控制 | MPS-2010-0291 | CVE-2009-2901 | 中危 |
Apache Tomcat 路径遍历漏洞 | 路径遍历 | MPS-2010-0292 | CVE-2009-2902 | 中危 |
Apache Tomcat Authentication Header Realm Name信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2010-1537 | CVE-2010-1157 | 低危 |
Apache Tomcat XSS 漏洞 | XSS | MPS-2010-4260 | CVE-2010-4172 | 中危 |
Apache Tomcat 跨站脚本漏洞 | XSS | MPS-2011-0675 | CVE-2011-0013 | 中危 |
Apache Tomcat MemoryUserDatabase密码泄露漏洞 | 未授权敏感信息泄露 | MPS-2011-1988 | CVE-2011-2204 | 低危 |
Apache Tomcat sendfile请求属性访问限制绕过漏洞 | 输入验证不恰当 | MPS-2011-2137 | CVE-2011-2526 | 中危 |
Apache Tomcat 资源管理错误漏洞 | 资源管理错误 | MPS-2012-0024 | CVE-2011-4858 | 中危 |
Apache Tomcat安全漏洞 | 权限、特权和访问控制 | MPS-2012-0091 | CVE-2011-1184 | 中危 |
Apache Tomcat安全绕过漏洞 | 权限、特权和访问控制 | MPS-2012-0092 | CVE-2011-5062 | 中危 |
Apache Tomcat安全绕过漏洞 | 身份验证不当 | MPS-2012-0093 | CVE-2011-5063 | 中危 |
Apache Tomcat ‘DigestAuthenticator.java’安全绕过漏洞 | 密码学问题 | MPS-2012-0094 | CVE-2011-5064 | 中危 |
Apache Tomcat拒绝服务漏洞 | 数字错误 | MPS-2012-0185 | CVE-2012-0022 | 中危 |
Apache Tomcat replay-countermeasure功能安全漏洞 | 权限、特权和访问控制 | MPS-2012-4787 | CVE-2012-5885 | 中危 |
Apache Tomcat HTTP Digest Access Authentication 安全绕过漏洞 | 身份验证不当 | MPS-2012-4788 | CVE-2012-5886 | 中危 |
Apache Tomcat HTTP Digest Access Authentication实现安全漏洞 | 身份验证不当 | MPS-2012-4789 | CVE-2012-5887 | 中危 |
Apache Tomcat 安全绕过漏洞 | 权限、特权和访问控制 | MPS-2012-5175 | CVE-2012-3546 | 中危 |
Apache Tomcat 权限许可和访问控制漏洞 | 权限、特权和访问控制 | MPS-2012-5176 | CVE-2012-4431 | 中危 |
Oracle Java SE JRE组件未明安全漏洞 | MPS-2013-2274 | CVE-2013-1571 | 中危 | |
Apache Tomcat 信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2014-0912 | CVE-2013-4590 | 中危 |
Apache Xalan-Java 权限绕过漏洞 | 权限、特权和访问控制 | MPS-2014-1792 | CVE-2014-0107 | 高危 |
Apache Tomcat 权限许可和访问控制问题漏洞 | 权限、特权和访问控制 | MPS-2014-2750 | CVE-2014-0096 | 中危 |
Apache Tomcat 权限许可和访问控制问题漏洞 | 权限、特权和访问控制 | MPS-2014-2752 | CVE-2014-0119 | 中危 |
Apache Tomcat 访问控制错误漏洞 | 访问控制不当 | MPS-2015-2674 | CVE-2014-7810 | 中危 |
Apache Tomcat 资源管理错误漏洞 | 资源管理错误 | MPS-2015-2680 | CVE-2014-0230 | 高危 |
Apache Tomcat Mapper组件路径遍历漏洞 | 路径遍历 | MPS-2016-1010 | CVE-2015-5345 | 中危 |
Apache Tomcat 信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2016-1013 | CVE-2016-0706 | 中危 |
Apache Tomcat 权限许可和访问控制问题漏洞 | 权限、特权和访问控制 | MPS-2016-1014 | CVE-2016-0714 | 高危 |
Apache Tomcat 信息泄露漏洞 | 通过差异性导致的信息暴露 | MPS-2017-9010 | CVE-2016-0762 | 中危 |
Apache Tomcat SecurityManager绕过漏洞 | 访问控制不当 | MPS-2017-9011 | CVE-2016-5018 | 严重 |
Apache Tomcat 访问控制错误漏洞 | 授权检查错误 | MPS-2017-9021 | CVE-2016-6797 | 高危 |
Apache Tomcat 访问限制绕过漏洞 | 访问控制不当 | MPS-2017-9027 | CVE-2016-6796 | 高危 |
Apache Log4j SocketServer反序列化漏洞 | 反序列化 | MPS-2019-17271 | CVE-2019-17571 | 严重 |
Apache Log4j2 SmtpAppender证书验证不当漏洞 | 证书验证不恰当 | MPS-2020-6684 | CVE-2020-9488 | 低危 |
dom4j SaxReader函数存在 XXE 漏洞 | XXE | MPS-2020-6967 | CVE-2020-10683 | 严重 |
Apache Log4j JMSAppender反序列化漏洞 | 反序列化 | MPS-2021-38359 | CVE-2021-4104 | 高危 |
Apache Ant 拒绝服务漏洞 | 长度参数不一致性处理不恰当 | MPS-2021-9827 | CVE-2021-36373 | 中危 |
Apache Ant 拒绝服务漏洞 | 长度参数不一致性处理不恰当 | MPS-2021-9847 | CVE-2021-36374 | 中危 |
Apache Log4j JDBCAppender SQL注入漏洞 | SQL注入 | MPS-2022-1444 | CVE-2022-23305 | 严重 |
Apache Log4j Chainsaw反序列化漏洞 | 反序列化 | MPS-2022-1445 | CVE-2022-23307 | 高危 |
Apache Log4j 反序列化漏洞 | 反序列化 | MPS-2022-1446 | CVE-2022-23302 | 高危 |
Apache XercesJ | XPath盲注 | MPS-2022-1864 | CVE-2022-23437 | 中危 |
Apache Xalan 存在整数截断漏洞 | 数值截断错误 | MPS-2022-19461 | CVE-2022-34169 | 中危 |
缺陷组件
组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
---|---|---|---|---|
org.apache.tomcat:jasper | 6.0.13 | 6.0.47 | 直接依赖 | 建议修复 |
log4j:log4j | 1.2.13 | 直接依赖 | 建议修复 | |
dom4j:dom4j | 1.6.1 | 间接依赖 | 建议修复 | |
xalan:xalan | 2.6.0 | 间接依赖 | 建议修复 | |
org.apache.tomcat:catalina | 6.0.13 | 6.0.47 | 间接依赖 | 建议修复 |
xerces:xercesImpl | 2.6.2 | 2.12.2 | 间接依赖 | 可选修复 |
org.apache.tomcat:el-api | 6.0.13 | 6.0.44 | 间接依赖 | 可选修复 |
ant:ant | 1.6.5 | 1.9.16 | 间接依赖 | 可选修复 |
许可证风险
许可证类型 | 相关组件 | 许可证风险 |
---|---|---|
自定义许可证 | 6 | 低 |
Apache-2.0 | 25 | 低 |
SBOM清单
组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
---|---|---|---|
com.ibm.icu:icu4j | 2.6.1 | 间接依赖 | maven |
org.apache.tomcat:juli | 6.0.13 | 间接依赖 | maven |
com.github.lkoskela.jsptest:jsptest-jsp20 | 0.22-SNAPSHOT | 直接依赖 | maven |
org.apache.tomcat:servlet-api | 6.0.13 | 间接依赖 | maven |
tomcat:jasper-compiler | 4.1.30 | 直接依赖 | maven |
jaxen:jaxen | 1.1.1 | 直接依赖 | maven |
org.apache.tomcat:jasper | 6.0.13 | 直接依赖 | maven |
org.apache.tomcat:catalina | 6.0.13 | 间接依赖 | maven |
com.github.lkoskela.jsptest:jsptest-jsp21 | 0.22-SNAPSHOT | 直接依赖 | maven |
com.github.lkoskela.jsptest:jsptest-compiler-api | 0.22-SNAPSHOT | 直接依赖 | maven |
javax.servlet:jstl | 1.0.2 | 直接依赖 | maven |
org.apache.tomcat:annotations-api | 6.0.13 | 间接依赖 | maven |
commons-el:commons-el | 1.0 | 间接依赖 | maven |
com.github.lkoskela.jsptest:jsptest-framework | 0.22-SNAPSHOT | 直接依赖 | maven |
com.github.lkoskela.jsptest:jsptest-jsp12 | 0.22-SNAPSHOT | 直接依赖 | maven |
org.apache.tomcat:jsp-api | 6.0.13 | 间接依赖 | maven |
org.apache.tomcat:jasper-jdt | 6.0.13 | 间接依赖 | maven |
org.apache.tomcat:jasper-el | 6.0.13 | 间接依赖 | maven |
org.apache.tomcat:el-api | 6.0.13 | 间接依赖 | maven |
junit:junit | 3.8.2 | 直接依赖 | maven |
javax.servlet:jstl | 1.1.2 | 直接依赖 | maven |
javax.servlet:jsp-api | 2.0 | 间接依赖 | maven |
javax.servlet:servlet-api | 2.4 | 间接依赖 | maven |
xerces:xercesImpl | 2.6.2 | 间接依赖 | maven |
xom:xom | 1.0 | 间接依赖 | maven |
xalan:xalan | 2.6.0 | 间接依赖 | maven |
tomcat:jasper-runtime | 4.1.30 | 直接依赖 | maven |
tomcat:jasper-compiler | 5.5.15 | 直接依赖 | maven |
com.github.lkoskela.jsptest:jsptest-common | 0.22-SNAPSHOT | 直接依赖 | maven |
jdom:jdom | 1.0 | 间接依赖 | maven |
org.hibernate:jtidy | r8-20060801 | 直接依赖 | maven |
xml-apis:xml-apis | 1.3.02 | 间接依赖 | maven |
dom4j:dom4j | 1.6.1 | 间接依赖 | maven |
taglibs:standard | 1.1.2 | 直接依赖 | maven |
log4j:log4j | 1.2.13 | 直接依赖 | maven |
xerces:xmlParserAPIs | 2.6.2 | 间接依赖 | maven |
tomcat:jasper-runtime | 5.5.15 | 直接依赖 | maven |
commons-logging:commons-logging | 1.0.3 | 间接依赖 | maven |
ant:ant | 1.6.5 | 间接依赖 | maven |
taglibs:standard | 1.0.2 | 直接依赖 | maven |