RuedigerMoeller/kontraktor 软件分析报告

基础信息

项目名称:RuedigerMoeller/kontraktor

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1751890589381832704/1751890656952070144

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
多款Cisco产品Apache Commons Collections库任意代码执行漏洞 反序列化 MPS-2015-6277 CVE-2015-6420 高危
多款Red Hat产品代码问题漏洞 反序列化 MPS-2017-12638 CVE-2015-7501 严重
FasterXML Jackson-databind 反序列化漏洞(dbcp2 gadget绕过) 反序列化 MPS-2018-0362 CVE-2017-17485 严重
FasterXML jackson-databind 反序列化漏洞(Hibernate/iBatis gadget绕过) 反序列化 MPS-2018-0934 CVE-2018-5968 高危
FasterXML Jackson-databind 反序列化漏洞(JdbcRowSetImpl gadget绕过) 反序列化 MPS-2018-1438 CVE-2017-15095 严重
FasterXML Jackson-databind反序列化漏洞 反序列化 MPS-2018-1439 CVE-2017-7525 严重
FasterXML jackson-databind 反序列化漏洞(c3p0 gadget绕过) 反序列化 MPS-2018-2477 CVE-2018-7489 严重
Google Guava 不可信数据的反序列化漏洞 不加限制或调节的资源分配 MPS-2018-5515 CVE-2018-10237 中危
FasterXML jackson-databind反序列化漏洞(slf4j-ext gadget绕过) 反序列化 MPS-2019-0018 CVE-2018-14718 严重
FasterXML jackson-databind反序列化漏洞(blaze-ds-opt gadget绕过) 反序列化 MPS-2019-0019 CVE-2018-14719 严重
FasterXML jackson-databind XXE漏洞(DRSHelper gadget绕过) XXE MPS-2019-0020 CVE-2018-14720 严重
FasterXML Jackson-databind服务器端请求伪造漏洞(axis2-jaxws gadget绕过) SSRF MPS-2019-0021 CVE-2018-14721 严重
FasterXML Jackson-databind代码问题漏洞(axis2-transport-jms gadget绕过) 反序列化 MPS-2019-0023 CVE-2018-19360 严重
FasterXML Jackson-databind代码问题漏洞(openjpa gadget绕过) 反序列化 MPS-2019-0024 CVE-2018-19361 严重
FasterXML Jackson-databind代码问题漏洞(jboss-common-core gadget绕过) 反序列化 MPS-2019-0025 CVE-2018-19362 严重
FasterXML jackson-databind 反序列化漏洞(HikariCP gadget绕过) 反序列化 MPS-2019-11529 CVE-2019-14540 严重
FasterXML jackson-databind 反序列化漏洞(HikariCP gadget绕过) 反序列化 MPS-2019-11533 CVE-2019-16335 严重
FasterXML jackson-databind 反序列化漏洞(commons-dbcp gadget绕过) 反序列化 MPS-2019-12479 CVE-2019-16942 严重
FasterXML jackson-databind 反序列化漏洞(p6spy gadget绕过) 反序列化 MPS-2019-12480 CVE-2019-16943 严重
FasterXML jackson-databind 反序列化漏洞(ehcache gadget绕过) 反序列化 MPS-2019-12676 CVE-2019-17267 严重
FasterXML jackson-databind 反序列化漏洞(apache-log4j-extras gadget绕过) 反序列化 MPS-2019-13103 CVE-2019-17531 严重
Apache Log4j SocketServer反序列化漏洞 反序列化 MPS-2019-17271 CVE-2019-17571 严重
FasterXML Jackson-databind反序列化漏洞(Jodd-db gadget绕过) 反序列化 MPS-2019-2619 CVE-2018-12022 高危
FasterXML Jackson-databind反序列化漏洞(Oracle JDBC driver gadget绕过) 反序列化 MPS-2019-2620 CVE-2018-12023 高危
FasterXML jackson-databind 反序列化漏洞(mysql gadget绕过) 反序列化 MPS-2019-5442 CVE-2019-12086 高危
FasterXML jackson-databind 反序列化漏洞(jdom gadget绕过) 反序列化 MPS-2019-6867 CVE-2019-12814 中危
FasterXML jackson-databind 反序列化漏洞(logback-classic gadget绕过) 反序列化 MPS-2019-7047 CVE-2019-12384 中危
FasterXML jackson-databind 反序列化漏洞(iBatis gadget绕过) 反序列化 MPS-2019-7711 CVE-2018-11307 严重
FasterXML jackson-databind 反序列化漏洞(ehcache gadget绕过) 动态确定对象属性修改的控制不恰当 MPS-2019-8717 CVE-2019-14379 严重
FasterXML jackson-databind 信息泄露漏洞(logback gadget绕过) 反序列化 MPS-2019-8770 CVE-2019-14439 高危
FasterXML jackson-databind反序列化漏洞(net.sf.ehcache gadget绕过) 反序列化 MPS-2020-0063 CVE-2019-20330 严重
FasterXML jackson-databind反序列化漏洞(Anteros-DBCP gadget绕过) 反序列化 MPS-2020-11987 CVE-2020-24616 高危
FasterXML jackson-databind 反序列化漏洞(pastdev gadget绕过) 反序列化 MPS-2020-13151 CVE-2020-24750 高危
Google Guava 访问控制错误漏洞 关键资源权限分配不当 MPS-2020-17429 CVE-2020-8908 低危
FasterXML jackson-databind 反序列化漏洞(commons-dbcp2 gadget绕过) 反序列化 MPS-2020-17696 CVE-2020-35490 高危
FasterXML jackson-databind 反序列化漏洞(commons-dbcp2 gadget绕过) 反序列化 MPS-2020-17697 CVE-2020-35491 高危
FasterXML jackson-databind 反序列化漏洞(glassfish gadget绕过) 反序列化 MPS-2020-18089 CVE-2020-35728 高危
FasterXML jackson-databind 反序列化漏洞(xbean-reflect gadget绕过) 反序列化 MPS-2020-2030 CVE-2020-8840 严重
FasterXML jackson-databind 反序列化漏洞(ignite-jta gadget绕过) 反序列化 MPS-2020-24779 CVE-2020-10650 高危
FasterXML jackson-databind 代码问题漏洞 反序列化 MPS-2020-3040 CVE-2020-9546 严重
FasterXML jackson-databind 反序列化漏洞(JtaTransactionConfig gadget绕过) 反序列化 MPS-2020-3041 CVE-2020-9547 严重
FasterXML jackson-databind反序列化漏洞(anteros-core gadget绕过) 反序列化 MPS-2020-3042 CVE-2020-9548 严重
FasterXML jackson-databind 反序列化漏洞(commons-configuration gadget绕过) 反序列化 MPS-2020-3075 CVE-2019-14892 严重
FasterXML Jackson-databind反序列化漏洞(xalan2 gadget绕过) 反序列化 MPS-2020-3094 CVE-2019-14893 严重
FasterXML jackson-databind反序列化漏洞(aries.transaction.jms gadget绕过) 反序列化 MPS-2020-4131 CVE-2020-10672 高危
FasterXML jackson-databind反序列化漏洞(caucho-quercus gadget绕过) 反序列化 MPS-2020-4132 CVE-2020-10673 高危
FasterXML jackson-databind反序列化漏洞(bus-proxy gadget绕过) 反序列化 MPS-2020-4658 CVE-2020-10968 高危
FasterXML jackson-databind反序列化漏洞(javax.swing gadget绕过) 反序列化 MPS-2020-4659 CVE-2020-10969 高危
FasterXML jackson-databind反序列化漏洞(activemq gadget绕过) 反序列化 MPS-2020-4754 CVE-2020-11111 高危
FasterXML jackson-databind反序列化漏洞(commons-proxy gadget绕过) 反序列化 MPS-2020-4755 CVE-2020-11112 高危
FasterXML jackson-databind反序列化漏洞(openjpa gadget绕过) 反序列化 MPS-2020-4756 CVE-2020-11113 高危
FasterXML jackson-databind 反序列化漏洞(spring-aop gadget绕过) 反序列化 MPS-2020-5138 CVE-2020-11619 高危
FasterXML jackson-databind 反序列化漏洞(commons-jelly gadget绕过) 反序列化 MPS-2020-5139 CVE-2020-11620 高危
Apache Log4j2 SmtpAppender证书验证不当漏洞 证书验证不恰当 MPS-2020-6684 CVE-2020-9488 低危
FasterXML jackson-databind反序列化漏洞(oracle-aqjms gadget绕过) 反序列化 MPS-2020-8801 CVE-2020-14061 高危
FasterXML jackson-databind反序列化漏洞(xalan2 gadget绕过) 反序列化 MPS-2020-8802 CVE-2020-14062 高危
FasterXML jackson-databind反序列化漏洞(apache drill gadget绕过) 反序列化 MPS-2020-8803 CVE-2020-14060 高危
FasterXML jackson-databind代码问题漏洞(jsecurity gadget绕过) 反序列化 MPS-2020-8911 CVE-2020-14195 高危
FasterXML jackson-databind 反序列化漏洞(DBCP gadget绕过) 反序列化 MPS-2021-0202 CVE-2020-36179 高危
FasterXML jackson-databind 反序列化漏洞(DBCP gadget绕过) 反序列化 MPS-2021-0203 CVE-2020-36181 高危
FasterXML jackson-databind 反序列化漏洞(DBCP gadget绕过) 反序列化 MPS-2021-0204 CVE-2020-36180 高危
FasterXML jackson-databind 反序列化漏洞(tomcat-dbcp gadget绕过) 反序列化 MPS-2021-0205 CVE-2020-36182 高危
FasterXML jackson-databind 反序列化漏洞(docx4j gadget绕过) 反序列化 MPS-2021-0206 CVE-2020-36183 高危
FasterXML jackson-databind 反序列化漏洞(tomcat-dbcp gadget绕过) 反序列化 MPS-2021-0207 CVE-2020-36184 高危
FasterXML jackson-databind 反序列化漏洞(tomcat-dbcp gadget绕过) 反序列化 MPS-2021-0208 CVE-2020-36185 高危
FasterXML jackson-databind 反序列化漏洞(naming-factory-dbcp gadget绕过) 反序列化 MPS-2021-0209 CVE-2020-36186 高危
FasterXML jackson-databind 反序列化漏洞(naming-factory-dbcp gadget绕过) 反序列化 MPS-2021-0210 CVE-2020-36187 高危
FasterXML jackson-databind 反序列化漏洞(newrelic-agent gadget绕过) 反序列化 MPS-2021-0211 CVE-2020-36188 高危
FasterXML jackson-databind 反序列化漏洞(newrelic-agent gadget绕过) 反序列化 MPS-2021-0212 CVE-2020-36189 高危
Apache Commons Compress 安存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2021-10550 CVE-2021-35517 高危
Apache Commons Compress 存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2021-10551 CVE-2021-35516 高危
Apache Commons Compress 存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2021-10564 CVE-2021-36090 高危
Apache Commons Compress 无限循环漏洞 不可达退出条件的循环(无限循环) MPS-2021-10565 CVE-2021-35515 高危
FasterXML jackson-databind 反序列化漏洞(javax.swing gadget绕过) 反序列化 MPS-2021-1625 CVE-2021-20190 高危
Apache Velocity 存在任意代码执行 代码注入 MPS-2021-3061 CVE-2020-13936 高危
Apache Log4j JMSAppender反序列化漏洞 反序列化 MPS-2021-38359 CVE-2021-4104 高危
Apache Commons IO 存在路径遍历漏洞 路径遍历 MPS-2021-4531 CVE-2021-29425 中危
ws 存在拒绝服务漏洞 拒绝服务 MPS-2021-7109 CVE-2021-32640 中危
JDOM 存在 XXE 注入漏洞 XXE MPS-2021-8350 CVE-2021-33813 高危
com.fasterxml.jackson.core:jackson-core 存在资源管理错误漏洞 资源管理错误 MPS-2022-11944 中危
com.fasterxml.jackson.core:jackson-core BigDecimal拒绝服务漏洞 资源管理错误 MPS-2022-12166 中危
com.fasterxml.jackson.core:jackson-databind 存在反序列化漏洞 反序列化 MPS-2022-12433 高危
Apache Commons Collections 远程代码执行漏洞 反序列化 MPS-2022-12767 高危
ws 存在拒绝服务漏洞 拒绝服务 MPS-2022-13147 高危
Apache Log4j JDBCAppender SQL注入漏洞 SQL注入 MPS-2022-1444 CVE-2022-23305 严重
Apache Log4j Chainsaw反序列化漏洞 反序列化 MPS-2022-1445 CVE-2022-23307 高危
Apache Log4j 反序列化漏洞 反序列化 MPS-2022-1446 CVE-2022-23302 高危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞 拒绝服务 MPS-2022-58653 CVE-2022-42003 中危
FasterXML jackson-databind 小于2.13.4拒绝服务漏洞 拒绝服务 MPS-2022-58654 CVE-2022-42004 中危
FasterXML jackson-databind 拒绝服务漏洞 越界写入 MPS-2022-6242 CVE-2020-36518 高危
Plexis Archiver 安全漏洞 UNIX符号链接跟随 MPS-365g-oapn CVE-2023-37460 严重
json-io 缓冲区错误漏洞 越界写入 MPS-jtye-gw8s CVE-2023-34610 高危
Guava 创建拥有不安全权限的临时文件 MPS-mfku-xzh3 CVE-2023-2976 中危
【存在争议】FasterXML jackson-databind 代码问题漏洞 不加限制或调节的资源分配 MPS-z1bx-p8y2 CVE-2023-35116 中危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
org.apache.commons:commons-compress 1.20 1.21 间接依赖 建议修复
com.cedarsoftware:json-io 2.5.1 4.14.1 直接依赖 建议修复
ws 3.0.0 5.2.3 间接依赖 建议修复
org.codehaus.plexus:plexus-archiver 4.2.7 4.8.0 间接依赖 建议修复
log4j:log4j 1.2.12 直接依赖 建议修复
org.apache.velocity:velocity 1.5 间接依赖 建议修复
commons-collections:commons-collections 3.2 3.2.2 间接依赖 建议修复
com.google.guava:guava 18.0 32.0.0-jre 间接依赖 建议修复
com.fasterxml.jackson.core:jackson-databind 2.8.2 2.16.0 直接依赖 建议修复
commons-io:commons-io 2.6 2.7 间接依赖 可选修复
org.jdom:jdom 1.1 间接依赖 可选修复
com.fasterxml.jackson.core:jackson-core 2.5.3 2.8.6 直接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
Apache-2.0 73
Apache-2.0 OR EPL-2.0 2
自定义许可证 6
MIT 9
EPL-1.0 6
CDDL-1.0 1
MPL-1.1 2
LGPL-2.1 2

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
org.apache.maven.doxia:doxia-decoration-model 1.0 间接依赖 maven
org.apache.maven.doxia:doxia-site-renderer 1.0 间接依赖 maven
com.google.inject:guice 4.0 间接依赖 maven
biz.aQute.bnd:biz.aQute.bnd.util 6.2.0 间接依赖 maven
com.cedarsoftware:json-io 2.5.1 直接依赖 maven
org.apache.maven:maven-plugin-api 3.3.9 间接依赖 maven
org.jdom:jdom 1.1 间接依赖 maven
org.iq80.snappy:snappy 0.4 间接依赖 maven
org.sonatype.plexus:plexus-sec-dispatcher 1.3 间接依赖 maven
commons-io:commons-io 2.6 间接依赖 maven
org.apache.maven:maven-model-builder 3.3.9 间接依赖 maven
org.osgi:org.osgi.compendium 4.2.0 间接依赖 maven
org.apache.maven:maven-archiver 3.5.2 间接依赖 maven
org.apache.maven.doxia:doxia-core 1.0 间接依赖 maven
org.apache.maven.wagon:wagon-provider-api 2.10 间接依赖 maven
org.apache.velocity:velocity 1.5 间接依赖 maven
org.apache.maven.doxia:doxia-module-xdoc 1.0 间接依赖 maven
org.sonatype.plexus:plexus-cipher 1.4 间接依赖 maven
de.ruedigermoeller:fst 3.0.4-jdk17 直接依赖 maven
com.cedarsoftware:java-util 1.9.0 直接依赖 maven
commons-logging:commons-logging 1.1.1 直接依赖 maven
org.codehaus.plexus:plexus-classworlds 2.5.2 间接依赖 maven
kontraktor-client 4.27.2 直接依赖 npm
org.osgi:org.osgi.util.promise 1.2.0 间接依赖 maven
uuid 3.3.3 直接依赖 npm
org.codehaus.plexus:plexus-component-annotations 1.6 间接依赖 maven
org.eclipse.aether:aether-impl 1.0.2.v20150114 间接依赖 maven
log4j:log4j 1.2.12 直接依赖 maven
org.apache.maven.shared:maven-dependency-tree 3.0 间接依赖 maven
org.objenesis:objenesis 2.5.1 间接依赖 maven
org.codehaus.plexus:plexus-i18n 1.0-beta-7 间接依赖 maven
filereader 0.10.3 间接依赖 npm
org.codehaus.plexus:plexus-container-default 1.0-alpha-30 间接依赖 maven
ultron 1.1.1 间接依赖 npm
org.eclipse.sisu:org.eclipse.sisu.inject 0.3.2 间接依赖 maven
org.osgi:osgi.annotation 8.0.1 间接依赖 maven
org.codehaus.plexus:plexus-velocity 1.1.7 间接依赖 maven
org.apache.maven:maven-aether-provider 3.3.9 间接依赖 maven
org.apache.felix:maven-bundle-plugin 5.1.5 间接依赖 maven
org.sonatype.plexus:plexus-build-api 0.0.7 间接依赖 maven
org.slf4j:slf4j-api 1.7.25 间接依赖 maven
org.eclipse.aether:aether-spi 1.0.2.v20150114 间接依赖 maven
org.apache.maven:maven-artifact 3.3.9 间接依赖 maven
org.tukaani:xz 1.9 间接依赖 maven
ws 3.0.0 间接依赖 npm
javax.annotation:jsr250-api 1.0 间接依赖 maven
org.javassist:javassist 3.19.0-GA 直接依赖 maven
commons-collections:commons-collections 3.2 间接依赖 maven
biz.aQute.bnd:biz.aQute.bndlib 6.2.0 间接依赖 maven
org.easymock:easymock 2.4 间接依赖 maven
de.ruedigermoeller:fst 2.44.3 直接依赖 maven
org.osgi:org.osgi.util.tracker 1.5.4 间接依赖 maven
org.apache.maven.doxia:doxia-module-xhtml 1.0 间接依赖 maven
org.apache.maven:maven-core 3.3.9 间接依赖 maven
org.eclipse.aether:aether-util 1.0.2.v20150114 间接依赖 maven
oro:oro 2.0.8 间接依赖 maven
logkit:logkit 1.0.1 直接依赖 maven
org.jctools:jctools-core 1.0 直接依赖 maven
com.eclipsesource.minimal-json:minimal-json 0.9.4 直接依赖 maven
org.apache.maven.doxia:doxia-sink-api 1.0 间接依赖 maven
org.codehaus.plexus:plexus-io 3.2.0 间接依赖 maven
com.fasterxml.jackson.core:jackson-core 2.5.3 直接依赖 maven
aopalliance:aopalliance 1.0 间接依赖 maven
javax.inject:javax.inject 1 间接依赖 maven
org.osgi:org.osgi.dto 1.0.0 间接依赖 maven
org.codehaus.plexus:plexus-archiver 4.2.7 间接依赖 maven
org.osgi:org.osgi.resource 1.0.0 间接依赖 maven
com.fasterxml.jackson.core:jackson-core 2.8.8 间接依赖 maven
org.apache.maven:maven-compat 3.3.9 间接依赖 maven
com.fasterxml.jackson.core:jackson-databind 2.8.2 直接依赖 maven
org.apache.maven.doxia:doxia-module-apt 1.0 间接依赖 maven
com.google.guava:guava 18.0 间接依赖 maven
org.osgi:org.osgi.util.function 1.2.0 间接依赖 maven
org.eclipse.sisu:org.eclipse.sisu.plexus 0.3.2 间接依赖 maven
org.objenesis:objenesis 2.1 直接依赖 maven
commons-lang:commons-lang 2.1 间接依赖 maven
org.apache.maven:maven-settings 3.3.9 间接依赖 maven
org.osgi:org.osgi.core 6.0.0 间接依赖 maven
org.apache.maven.shared:maven-shared-utils 3.3.3 间接依赖 maven
org.codehaus.plexus:plexus-utils 3.3.0 间接依赖 maven
org.javassist:javassist 3.21.0-GA 间接依赖 maven
org.codehaus.plexus:plexus-interpolation 1.21 间接依赖 maven
safe-buffer 5.0.1 间接依赖 npm
kontraktor-common 4.27.0 间接依赖 npm
org.osgi:org.osgi.service.repository 1.1.0 间接依赖 maven
org.osgi:org.osgi.service.log 1.3.0 间接依赖 maven
it.unimi.dsi:fastutil 8.5.9 间接依赖 maven
org.apache.felix:org.apache.felix.utils 1.6.0 间接依赖 maven
org.osgi:org.osgi.framework 1.8.0 间接依赖 maven
org.apache.commons:commons-lang3 3.4 间接依赖 maven
org.apache.maven.doxia:doxia-module-fml 1.0 间接依赖 maven
org.eclipse.aether:aether-api 1.0.2.v20150114 间接依赖 maven
avalon-framework:avalon-framework 4.1.3 直接依赖 maven
javax.enterprise:cdi-api 1.0 间接依赖 maven
org.apache.maven:maven-model 3.3.9 间接依赖 maven
org.apache.commons:commons-compress 1.20 间接依赖 maven
org.apache.maven:maven-builder-support 3.3.9 间接依赖 maven
org.apache.felix:org.apache.felix.bundlerepository 1.6.6 间接依赖 maven
org.apache.maven:maven-settings-builder 3.3.9 间接依赖 maven
org.apache.maven:maven-repository-metadata 3.3.9 间接依赖 maven
com.fasterxml.jackson.core:jackson-annotations 2.8.0 间接依赖 maven
org.apache.maven.reporting:maven-reporting-api 3.0 间接依赖 maven
(0)
上一篇 2024年1月29日
下一篇 2024年1月29日

相关推荐

  • beneverard/jqPagination 软件分析报告

    基础信息 项目名称:beneverard/jqPagination 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1716296140597100544/1716296145718345728 此报告由Murphy…

    软件分析 2023年10月23日
    0
  • Dreampie/dreampie 软件分析报告

    基础信息 项目名称:Dreampie/dreampie 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1717297310513020928/1717297310554963968 此报告由Murphysec提供 …

    软件分析 2023年10月26日
    0
  • ant-design/ant-design 软件分析报告

    基础信息 项目名称:ant-design/ant-design 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1715854783746457600/1715854783780012032 此报告由Murphyse…

    软件分析 2023年10月23日
    0
  • LaiFeng-Android/SopCastComponent 软件分析报告

    基础信息 项目名称:LaiFeng-Android/SopCastComponent 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721354701852147712/1724563514125148160 此…

    软件分析 2023年11月15日
    0
  • diffplug/spotless 软件分析报告

    基础信息 项目名称:diffplug/spotless 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1717157296856678400/1717157297078976512 此报告由Murphysec提供 …

    软件分析 2023年10月25日
    0