openmrs/openmrs-core 软件分析报告

基础信息

项目名称:openmrs/openmrs-core

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1749005726809600000/1749005732706791424

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
Red Hat JBoss Enterprise Application Platform 代码问题漏洞 反序列化 MPS-2019-12470 CVE-2019-10202 严重
​ hibernate-validator 存在跨站脚本(XSS)漏洞 XSS MPS-2019-14389 CVE-2019-10219 中危
Spring Framework 反序列化 MPS-2020-0057 CVE-2016-1000027 严重
hibernate-validator 存在输入验证错误漏洞 代码注入 MPS-2020-7077 CVE-2020-10693 中危
XStream SSRF MPS-2021-17812 CVE-2021-39152 高危
XStream SSRF MPS-2021-17813 CVE-2021-39150 高危
XStream 存在拒绝服务漏洞 不可达退出条件的循环(无限循环) MPS-2021-17814 CVE-2021-39140 中危
XStream 反序列化 MPS-2021-17815 CVE-2021-39154 高危
XStream 反序列化 MPS-2021-17816 CVE-2021-39153 高危
XStream 反序列化 MPS-2021-17817 CVE-2021-39151 高危
XStream 反序列化 MPS-2021-17818 CVE-2021-39149 高危
XStream 反序列化 MPS-2021-17819 CVE-2021-39148 高危
XStream 反序列化 MPS-2021-17820 CVE-2021-39147 高危
XStream 反序列化 MPS-2021-17821 CVE-2021-39146 高危
XStream 反序列化 MPS-2021-17822 CVE-2021-39145 高危
XStream 反序列化 MPS-2021-17823 CVE-2021-39144 高危
XStream 反序列化 MPS-2021-17824 CVE-2021-39141 高危
XStream 反序列化 MPS-2021-17825 CVE-2021-39139 高危
com.h2database:h2 XXE MPS-2021-19502 CVE-2021-23463 严重
Apache Velocity XSS MPS-2021-2975 CVE-2020-13959 中危
Apache Velocity 存在任意代码执行 代码注入 MPS-2021-3061 CVE-2020-13936 高危
H2数据库存在JNDI注入漏洞 反序列化 MPS-2021-33243 CVE-2021-42392 严重
XStream 拒绝服务 MPS-2021-36984 CVE-2021-43859 高危
commons-codec:commons-codec 存在信息泄露漏洞 未授权敏感信息泄露 MPS-2022-11853 低危
H2 Console 代码注入漏洞 代码注入 MPS-2022-1435 CVE-2022-23221 严重
OpenMRS 路径遍历漏洞 路径遍历 MPS-2022-2039 CVE-2022-23612 高危
protobuf-java 存在输入验证不当漏洞 拒绝服务 MPS-2022-56472 CVE-2022-3171 中危
xstream project跨界内存写漏洞 越界写入 MPS-2022-57066 CVE-2022-40151 高危
XStream 栈缓冲区溢出 MPS-2022-58603 CVE-2022-41966 中危
IBM WebSphere Application Server Liberty 存在拒绝服务漏洞 对因果或异常条件的不恰当检查 MPS-2022-59813 CVE-2022-3509 中危
Google protobuf 安全漏洞 MPS-2022-59814 CVE-2022-3510 高危
H2 数据库明文密码问题 未授权敏感信息泄露 MPS-2022-65204 CVE-2022-45868 高危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
com.thoughtworks.xstream:xstream 1.4.17 1.4.20 直接依赖 强烈建议修复
org.apache.velocity:velocity 1.7 直接依赖 建议修复
org.codehaus.jackson:jackson-mapper-asl 1.9.14-MULE-002 直接依赖 建议修复
org.openmrs.web:openmrs-web 2.7.0-SNAPSHOT 直接依赖 建议修复
com.h2database:h2 1.4.200 直接依赖 建议修复
org.springframework:spring-web 5.3.30 6.0.14 直接依赖 建议修复
org.hibernate:hibernate-validator 5.4.3.Final 6.0.19.Final 直接依赖 可选修复
com.google.protobuf:protobuf-java 3.19.4 3.19.6 间接依赖 可选修复
commons-codec:commons-codec 1.10 1.13 间接依赖 可选修复
org.apache.velocity:velocity-tools 2.0.1-atlassian-2 直接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
Apache-2.0 81
Plexus 1
自定义许可证 35
MIT 4
EPL-2.0 7
CDDL-1.1 3
LGPL-2.1 4
EPL-1.0 4
BSD-2-Clause 1
LGPL-2.1-or-later 6
MPL-1.1 1
BSD-3-Clause 3

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
org.springframework:spring-web 5.3.30 直接依赖 maven
org.dom4j:dom4j 2.1.4 直接依赖 maven
org.liquibase:liquibase-core 4.8.0 直接依赖 maven
org.apache.logging.log4j:log4j-slf4j-impl 2.22.1 直接依赖 maven
commons-lang:commons-lang 2.4 间接依赖 maven
org.glassfish.jaxb:txw2 2.3.1 间接依赖 maven
org.apache.lucene:lucene-misc 5.5.5 间接依赖 maven
net.bytebuddy:byte-buddy-agent 1.14.11 间接依赖 maven
javax.servlet:servlet-api 2.4 间接依赖 maven
org.apache.lucene:lucene-core 5.5.5 间接依赖 maven
org.apache.lucene:lucene-sandbox 5.5.5 间接依赖 maven
commons-fileupload:commons-fileupload 1.5 直接依赖 maven
org.slf4j:slf4j-api 1.7.36 直接依赖 maven
org.junit.platform:junit-platform-engine 1.10.1 间接依赖 maven
org.springframework:spring-jcl 5.3.30 间接依赖 maven
jakarta.xml.bind:jakarta.xml.bind-api 4.0.0 直接依赖 maven
org.junit.platform:junit-platform-commons 1.10.1 间接依赖 maven
org.springframework:spring-webmvc 5.3.30 直接依赖 maven
javax.annotation:javax.annotation-api 1.3.2 直接依赖 maven
javax.xml.bind:jaxb-api 2.3.0 间接依赖 maven
com.mchange:mchange-commons-java 0.2.19 间接依赖 maven
org.powermock:powermock-reflect 2.0.9 间接依赖 maven
com.google.errorprone:error_prone_annotations 2.23.0 间接依赖 maven
org.springframework:spring-expression 5.3.30 间接依赖 maven
com.google.j2objc:j2objc-annotations 2.8 间接依赖 maven
org.powermock:powermock-api-support 2.0.9 间接依赖 maven
org.aspectj:aspectjrt 1.9.21 直接依赖 maven
org.postgresql:postgresql 42.7.1 直接依赖 maven
com.oracle.database.jdbc:ojdbc8 19.3.0.0 间接依赖 maven
org.glassfish.jaxb:jaxb-runtime 2.3.1 间接依赖 maven
org.powermock:powermock-module-junit4-common 2.0.9 间接依赖 maven
ca.uhn.hapi:hapi-structures-v23 2.1 直接依赖 maven
com.sun.istack:istack-commons-runtime 3.0.7 间接依赖 maven
jaxen:jaxen 2.0.0 直接依赖 maven
com.google.guava:failureaccess 1.0.2 间接依赖 maven
org.apache.logging.log4j:log4j-1.2-api 2.22.1 直接依赖 maven
com.mysql:mysql-connector-mxj 5.0.11 直接依赖 maven
com.oracle.database.security:osdt_core 19.3.0.0 间接依赖 maven
com.sun.activation:javax.activation 1.2.0 直接依赖 maven
org.hibernate:hibernate-search-engine 5.11.12.Final 间接依赖 maven
org.springframework:spring-tx 5.3.30 直接依赖 maven
org.aspectj:aspectjweaver 1.9.21 直接依赖 maven
sslext:sslext 1.2-0 间接依赖 maven
com.google.guava:guava 33.0.0-jre 直接依赖 maven
org.mockito:mockito-junit-jupiter 3.12.4 直接依赖 maven
org.springframework:spring-core 5.3.30 直接依赖 maven
com.sun.mail:javax.mail 1.6.2 直接依赖 maven
org.dbunit:dbunit 2.7.3 直接依赖 maven
commons-codec:commons-codec 1.10 间接依赖 maven
com.oracle.database.ha:ons 19.3.0.0 间接依赖 maven
org.opentest4j:opentest4j 1.3.0 间接依赖 maven
org.apache.logging.log4j:log4j-core 2.22.1 直接依赖 maven
javax.servlet:jsp-api 2.0 直接依赖 maven
org.openmrs.api:openmrs-api 2.7.0-SNAPSHOT 直接依赖 maven
commons-digester:commons-digester 2.1 间接依赖 maven
javax.servlet.jsp.jstl:javax.servlet.jsp.jstl-api 1.2.2 直接依赖 maven
org.apache.lucene:lucene-analyzers-phonetic 5.5.5 直接依赖 maven
org.hibernate:hibernate-search-orm 5.11.12.Final 直接依赖 maven
antlr:antlr 2.7.7 间接依赖 maven
javax.activation:javax.activation-api 1.2.0 间接依赖 maven
com.google.guava:listenablefuture 9999.0-empty-to-avoid-conflict-with-guava 间接依赖 maven
org.junit.vintage:junit-vintage-engine 5.10.1 直接依赖 maven
com.fasterxml.jackson.datatype:jackson-datatype-jsr310 2.16.1 直接依赖 maven
org.apache.lucene:lucene-facet 5.5.5 间接依赖 maven
javax.persistence:javax.persistence-api 2.2 间接依赖 maven
org.apache.struts:struts-taglib 1.3.8 间接依赖 maven
commons-chain:commons-chain 1.1 间接依赖 maven
ca.uhn.hapi:hapi-structures-v24 2.1 直接依赖 maven
ca.uhn.hapi:hapi-structures-v26 2.1 直接依赖 maven
com.oracle.database.security:oraclepki 19.3.0.0 间接依赖 maven
org.junit.jupiter:junit-jupiter-api 5.10.1 直接依赖 maven
org.springframework:spring-beans 5.3.30 直接依赖 maven
taglibs:standard 1.1.2 直接依赖 maven
xmlpull:xmlpull 1.1.3.1 间接依赖 maven
org.jboss.spec.javax.transaction:jboss-transaction-api_1.2_spec 1.1.1.Final 间接依赖 maven
javax.xml.bind:jaxb-api 2.3.1 间接依赖 maven
org.javassist:javassist 3.30.2-GA 直接依赖 maven
commons-logging:commons-logging 1.3.0 间接依赖 maven
ca.uhn.hapi:hapi-structures-v25 2.1 直接依赖 maven
org.owasp:csrfguard 4.2.1 直接依赖 maven
com.mchange:c3p0 0.9.5.5 间接依赖 maven
org.owasp.encoder:encoder 1.2.3 直接依赖 maven
org.springframework:spring-context 5.3.30 直接依赖 maven
org.apache.commons:commons-lang3 3.14.0 直接依赖 maven
joda-time:joda-time 2.12.6 直接依赖 maven
org.apache.lucene:lucene-backward-codecs 5.5.5 直接依赖 maven
org.apache.velocity:velocity-tools 2.0.1-atlassian-2 直接依赖 maven
org.jboss.logging:jboss-logging 3.4.3.Final 间接依赖 maven
org.checkerframework:checker-qual 3.41.0 间接依赖 maven
net.bytebuddy:byte-buddy 1.14.11 间接依赖 maven
io.github.x-stream:mxparser 1.2.1 间接依赖 maven
javax.validation:validation-api 2.0.1.Final 直接依赖 maven
org.springframework:spring-test 5.3.30 直接依赖 maven
commons-beanutils:commons-beanutils 1.9.4 直接依赖 maven
com.fasterxml.jackson.core:jackson-databind 2.16.1 直接依赖 maven
org.apache.velocity:velocity 1.7 直接依赖 maven
org.apache.logging.log4j:log4j-api 2.22.1 间接依赖 maven
org.jvnet.staxex:stax-ex 1.8 间接依赖 maven
commons-digester:commons-digester 1.8 间接依赖 maven
org.powermock:powermock-core 2.0.9 间接依赖 maven
org.powermock:powermock-module-junit4 2.0.9 直接依赖 maven
com.oracle.database.jdbc:ucp 19.3.0.0 间接依赖 maven
org.hamcrest:hamcrest 2.2 直接依赖 maven
org.codehaus.jackson:jackson-mapper-asl 1.9.14-MULE-002 直接依赖 maven
org.hibernate.common:hibernate-commons-annotations 5.1.2.Final 间接依赖 maven
com.fasterxml.jackson.core:jackson-core 2.16.1 直接依赖 maven
com.sun.xml.fastinfoset:FastInfoset 1.2.15 间接依赖 maven
org.hibernate:hibernate-core 5.6.15.Final 直接依赖 maven
org.apiguardian:apiguardian-api 1.1.2 间接依赖 maven
net.sf.ehcache:ehcache 2.10.10.4.43 直接依赖 maven
org.powermock:powermock-api-mockito2 2.0.9 直接依赖 maven
org.owasp:csrfguard-extension-session 4.2.1 直接依赖 maven
org.springframework:spring-orm 5.3.30 直接依赖 maven
org.openmrs.web:openmrs-web 2.7.0-SNAPSHOT 直接依赖 maven
ca.uhn.hapi:hapi-base 2.1 直接依赖 maven
org.apache.lucene:lucene-queryparser 5.5.5 直接依赖 maven
org.objenesis:objenesis 3.3 间接依赖 maven
org.apache.lucene:lucene-analyzers-common 5.5.5 间接依赖 maven
com.fasterxml.jackson.core:jackson-annotations 2.16.1 直接依赖 maven
org.codehaus.jackson:jackson-core-asl 1.9.14-MULE-002 直接依赖 maven
taglibs:response 1.0.1 直接依赖 maven
junit:junit 4.13.2 直接依赖 maven
org.springframework:spring-oxm 5.3.30 直接依赖 maven
taglibs:page 1.0.1 直接依赖 maven
org.apache.struts:struts-tiles 1.3.8 间接依赖 maven
org.junit.jupiter:junit-jupiter-engine 5.10.1 直接依赖 maven
org.hibernate:hibernate-validator 5.4.3.Final 直接依赖 maven
org.springframework:spring-context-support 5.3.30 直接依赖 maven
org.slf4j:jcl-over-slf4j 1.7.36 直接依赖 maven
org.hibernate:hibernate-ehcache 5.6.15.Final 直接依赖 maven
commons-validator:commons-validator 1.8.0 直接依赖 maven
org.springframework:spring-jdbc 5.3.30 直接依赖 maven
org.springframework:spring-aop 5.3.30 直接依赖 maven
com.google.code.findbugs:jsr305 3.0.2 间接依赖 maven
taglibs:request 1.0.1 直接依赖 maven
org.hamcrest:hamcrest-core 2.2 直接依赖 maven
org.codehaus.groovy:groovy-all 2.4.21 直接依赖 maven
com.h2database:h2 1.4.200 直接依赖 maven
com.thoughtworks.xstream:xstream 1.4.17 直接依赖 maven
com.fasterxml:classmate 1.5.1 间接依赖 maven
org.apache.lucene:lucene-queries 5.5.5 直接依赖 maven
org.jboss:jandex 2.4.2.Final 间接依赖 maven
oro:oro 2.0.8 间接依赖 maven
com.oracle.database.ha:simplefan 19.3.0.0 间接依赖 maven
xml-apis:xml-apis 1.4.01 间接依赖 maven
commons-collections:commons-collections 3.2.2 直接依赖 maven
com.google.code.gson:gson 2.10.1 间接依赖 maven
org.hibernate:hibernate-c3p0 5.6.15.Final 直接依赖 maven
jakarta.activation:jakarta.activation-api 2.1.0 间接依赖 maven
com.mysql:mysql-connector-mxj-dbfiles 5.0.11 直接依赖 maven
xerces:xercesImpl 2.12.2 直接依赖 maven
com.oracle.database.security:osdt_cert 19.3.0.0 间接依赖 maven
org.mockito:mockito-core 5.6.0 直接依赖 maven
com.google.protobuf:protobuf-java 3.19.4 间接依赖 maven
commons-io:commons-io 2.15.1 直接依赖 maven
mysql:mysql-connector-java 8.0.30 直接依赖 maven
(0)
上一篇 2024年1月21日
下一篇 2024年1月21日

相关推荐

  • juicyfx/vercel-php 软件分析报告

    基础信息 项目名称:juicyfx/vercel-php 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1719311120191848448/1719311120258957312 此报告由Murphysec提供…

    软件分析 2023年10月31日
    0
  • wizawu/tyrian 软件分析报告

    基础信息 项目名称:wizawu/tyrian 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1724614676585078784/1724614676681547776 此报告由Murphysec提供 漏洞列表…

    软件分析 2023年11月15日
    0
  • jgarzik/python-bitcoinrpc 软件分析报告

    基础信息 项目名称:jgarzik/python-bitcoinrpc 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721306875713900544/1729745944890527744 此报告由Murp…

    软件分析 2023年11月29日
    0
  • kylestetz/CLNDR 软件分析报告

    基础信息 项目名称:kylestetz/CLNDR 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721353479539687424/1724559523320389632 此报告由Murphysec提供 漏洞…

    软件分析 2023年11月15日
    0
  • derekp7/snebu 软件分析报告

    基础信息 项目名称:derekp7/snebu 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1717123154974654464/1717123155905789952 此报告由Murphysec提供 漏洞列表…

    软件分析 2023年10月25日
    0