pugwoo/nimble-orm 软件分析报告

基础信息

项目名称:pugwoo/nimble-orm

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1744697389756686336/1754316036737380352

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
mysql:mysql-connector-java XXE MPS-2020-38350 CVE-2021-2471 中危
Quality Open Software logback JNDI注入漏洞 反序列化 MPS-2021-33911 CVE-2021-42550 中危
Oracle MySQL 的 MySQL Connectors 存在授权不当漏洞 授权机制不恰当 MPS-2021-36587 CVE-2022-21363 中危
Vmware Spring Framework 安全漏洞 不加限制或调节的资源分配 MPS-2022-1080 CVE-2022-22950 中危
Pivotal Spring Framework 安全限制绕过漏洞 大小写敏感处理不恰当 MPS-2022-1098 CVE-2022-22968 中危
Spring Framework spring-beans 存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2022-1101 CVE-2022-22970 中危
Logback SSL证书校验不当漏洞 中间人攻击 MPS-2022-12411 中危
FasterXML Jackson-databind 拒绝服务漏洞 拒绝服务 MPS-2022-12500 中危
snakeYAML 拒绝服务 MPS-2022-5144 CVE-2022-25857 高危
snakeYAML 栈缓冲区溢出 MPS-2022-56040 CVE-2022-38751 中危
snakeYAML 栈缓冲区溢出 MPS-2022-56041 CVE-2022-38752 低危
snakeYAML 栈缓冲区溢出 MPS-2022-56051 CVE-2022-38750 中危
snakeYAML 拒绝服务 MPS-2022-56081 CVE-2022-38749 中危
SnakeYAML 栈缓冲区溢出 MPS-2022-58478 CVE-2022-41854 中危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞 拒绝服务 MPS-2022-58653 CVE-2022-42003 中危
FasterXML jackson-databind 小于2.13.4拒绝服务漏洞 拒绝服务 MPS-2022-58654 CVE-2022-42004 中危
FasterXML jackson-databind 拒绝服务漏洞 越界写入 MPS-2022-6242 CVE-2020-36518 高危
Spring 处理 SpEL 存在拒绝服务漏洞 拒绝服务 MPS-2022-62833 CVE-2023-20861 中危
Spring Expression 存在拒绝服务漏洞 拒绝服务 MPS-2022-62835 CVE-2023-20863 高危
Spring Boot 欢迎页功能拒绝服务风险 拒绝服务 MPS-2022-62855 CVE-2023-20883 高危
spring-beans 远程代码执行漏洞(Spring4Shell) 表达式语言注入 MPS-2022-6820 CVE-2022-22965 严重
snakeYAML 反序列化 MPS-2022-9425 CVE-2022-1471 高危
jackson-databind 拒绝服务漏洞 拒绝服务 MPS-2023-8438 CVE-2021-46877 中危
VMware Spring Boot 安全漏洞 MPS-9q4l-tvum CVE-2023-34055 中危
logback 安全漏洞 反序列化 MPS-e8pm-na64 CVE-2023-6378 高危
Quality Open Software Logback 安全漏洞 MPS-n41z-dwb8 CVE-2023-6481 高危
mvel2 ParseTools.subCompileExpression方法存在拒绝服务风险 拒绝服务 MPS-nhc1-imz2 CVE-2023-51079 中危
【存在争议】FasterXML jackson-databind 代码问题漏洞 不加限制或调节的资源分配 MPS-z1bx-p8y2 CVE-2023-35116 中危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
ch.qos.logback:logback-core 1.2.3 1.3.14 间接依赖 建议修复
mysql:mysql-connector-java 8.0.22 8.0.28 直接依赖 建议修复
org.yaml:snakeyaml 1.27 2.0 间接依赖 建议修复
com.fasterxml.jackson.core:jackson-databind 2.11.3 2.16.0 间接依赖 建议修复
org.springframework:spring-beans 5.3.1 5.3.20 间接依赖 建议修复
org.springframework:spring-context 5.3.1 5.3.19 间接依赖 建议修复
org.springframework.boot:spring-boot-autoconfigure 2.4.0 2.5.15 间接依赖 可选修复
ch.qos.logback:logback-classic 1.2.3 1.3.12 间接依赖 可选修复
org.mvel:mvel2 2.5.0.Final 直接依赖 可选修复
org.springframework.boot:spring-boot 2.4.0 2.7.18 间接依赖 可选修复
org.springframework:spring-expression 5.3.1 5.3.27 间接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
Apache-2.0 33
EPL-2.0 2
GPL-2.0-with-classpath-exception 3
LGPL-3.0 1
BSD-2-Clause 1
EPL-1.0 2
LGPL-2.1 2
GPL-2.0 1
MIT 5
CDDL-1.1 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
org.apache.httpcomponents.core5:httpcore5-h2 5.2 间接依赖 maven
org.springframework.boot:spring-boot-starter-jdbc 2.4.0 直接依赖 maven
org.springframework.boot:spring-boot-autoconfigure 2.4.0 间接依赖 maven
jakarta.servlet:jakarta.servlet-api 4.0.4 间接依赖 maven
org.springframework:spring-tx 5.3.1 间接依赖 maven
com.fasterxml.jackson.core:jackson-annotations 2.11.3 间接依赖 maven
com.fasterxml.jackson.datatype:jackson-datatype-jsr310 2.11.3 间接依赖 maven
com.github.jsqlparser:jsqlparser 4.7 直接依赖 maven
org.postgresql:postgresql 42.7.0 直接依赖 maven
org.yaml:snakeyaml 1.27 间接依赖 maven
com.fasterxml.jackson.datatype:jackson-datatype-jsr310 2.16.0 直接依赖 maven
ch.qos.logback:logback-core 1.2.3 间接依赖 maven
org.springframework.boot:spring-boot-starter 2.4.0 间接依赖 maven
com.zaxxer:HikariCP 3.4.5 间接依赖 maven
com.fasterxml.jackson.core:jackson-databind 2.16.0 直接依赖 maven
org.apache.httpcomponents.core5:httpcore5 5.2 间接依赖 maven
com.pugwoo:nimble-orm 1.6.0 直接依赖 maven
mysql:mysql-connector-java 8.0.22 直接依赖 maven
com.fasterxml.jackson.core:jackson-annotations 2.16.0 间接依赖 maven
com.fasterxml.jackson.core:jackson-core 2.16.0 间接依赖 maven
com.fasterxml.jackson.core:jackson-core 2.11.3 间接依赖 maven
com.pugwoo:woo-utils 1.2.4 直接依赖 maven
org.apache.logging.log4j:log4j-api 2.13.3 间接依赖 maven
org.slf4j:slf4j-api 2.0.9 直接依赖 maven
org.slf4j:slf4j-api 1.7.30 间接依赖 maven
org.springframework:spring-context 5.3.1 间接依赖 maven
org.apache.httpcomponents.client5:httpclient5 5.2.1 直接依赖 maven
org.springframework:spring-expression 5.3.1 间接依赖 maven
org.checkerframework:checker-qual 3.31.0 间接依赖 maven
org.lz4:lz4-java 1.8.0 直接依赖 maven
org.slf4j:jul-to-slf4j 1.7.30 间接依赖 maven
com.fasterxml.jackson.dataformat:jackson-dataformat-yaml 2.11.3 间接依赖 maven
jakarta.annotation:jakarta.annotation-api 1.3.5 间接依赖 maven
org.mvel:mvel2 2.5.0.Final 直接依赖 maven
org.apache.logging.log4j:log4j-to-slf4j 2.13.3 间接依赖 maven
org.springframework.boot:spring-boot 2.4.0 间接依赖 maven
com.clickhouse:clickhouse-jdbc 0.5.0 直接依赖 maven
ch.qos.logback:logback-classic 1.2.3 间接依赖 maven
com.fasterxml.jackson.core:jackson-databind 2.11.3 间接依赖 maven
org.springframework:spring-jdbc 5.3.1 间接依赖 maven
org.projectlombok:lombok 1.18.30 直接依赖 maven
org.springframework:spring-beans 5.3.1 间接依赖 maven
javax.servlet:javax.servlet-api 4.0.1 间接依赖 maven
org.springframework.boot:spring-boot-starter-logging 2.4.0 间接依赖 maven
org.springframework:spring-aop 5.3.1 间接依赖 maven
(0)
上一篇 2024年2月5日
下一篇 2024年2月5日

相关推荐

  • xuexiangjys/XUpdate 软件分析报告

    基础信息 项目名称:xuexiangjys/XUpdate 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1720011721913532416/1720011722416848896 此报告由Murphysec提…

    软件分析 2023年11月2日
    0
  • brandonaaron/jquery-overlaps 软件分析报告

    基础信息 项目名称:brandonaaron/jquery-overlaps 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1716447801176276992/1716447801436323840 此报告由M…

    软件分析 2023年10月23日
    0
  • dalance/procs 软件分析报告

    基础信息 项目名称:dalance/procs 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1717016643347546112/1717016643968303104 此报告由Murphysec提供 漏洞列表…

    软件分析 2023年10月25日
    0
  • keybuk/homebridge-powerview 软件分析报告

    基础信息 项目名称:keybuk/homebridge-powerview 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721337117815635968/1728607096328376320 此报告由Mu…

    软件分析 2023年11月26日
    0
  • bubelov/news 软件分析报告

    基础信息 项目名称:bubelov/news 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1716481111886528512/1716481111957831680 此报告由Murphysec提供 漏洞列表 …

    软件分析 2023年10月24日
    0