weld/core 软件分析报告

2024年2月7日下午9:39 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：weld/core

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1755223073370746880/1755223073446244352

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
Eclipse Jetty 资源管理错误漏洞	拒绝服务	MPS-0e59-bdsi	CVE-2023-36478	高危
com.google.code.gson:gson 存在BigDecimal拒绝服务漏洞	反序列化	MPS-2022-12287	CVE-2022-25647	高危
Eclipse Jetty URI注入漏洞	注入	MPS-2022-18060	CVE-2022-2047	低危
TestNG	路径遍历	MPS-2022-64736	CVE-2022-4065	高危
Eclipse Jetty 安全漏洞		MPS-49ot-3w07	CVE-2023-40167	中危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
org.eclipse.jetty:jetty-http	9.4.50.v20221201	11.0.16	间接依赖	可选修复
com.google.code.gson:gson	2.6.2	2.8.9	间接依赖	可选修复
org.testng:testng	7.4.0	7.7.0	直接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
EPL-2.0	17	低
Apache-2.0	102	低
GPL-2.0-with-classpath-exception	10	中
EPL-1.0	9	低
BSD-2-Clause	1	低
EDL-1.0	1	低
MIT	3	低
LGPL-3.0	1	中
LGPL-2.0	1	中
LGPL-2.1	1	中

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
org.junit.platform:junit-platform-commons	1.8.2	间接依赖	maven
jakarta.enterprise:jakarta.enterprise.cdi-api	4.1.0-M1	直接依赖	maven
jakarta.enterprise:jakarta.enterprise.cdi-el-api	4.1.0-M1	直接依赖	maven
org.jboss.shrinkwrap.resolver:shrinkwrap-resolver-spi	3.2.1	直接依赖	maven
org.junit.jupiter:junit-jupiter-engine	5.8.2	间接依赖	maven
org.codehaus.groovy:groovy-test-junit5	3.0.13	间接依赖	maven
commons-codec:commons-codec	1.15	间接依赖	maven
jakarta.jms:jakarta.jms-api	3.1.0	直接依赖	maven
org.apache.httpcomponents:httpcore	4.4.16	间接依赖	maven
org.codehaus.groovy:groovy-jmx	3.0.13	间接依赖	maven
org.eclipse.jetty.websocket:websocket-api	9.4.50.v20221201	间接依赖	maven
jakarta.transaction:jakarta.transaction-api	2.0.1	直接依赖	maven
org.codehaus.groovy:groovy-datetime	3.0.13	间接依赖	maven
jakarta.servlet:jakarta.servlet-api	6.0.0	直接依赖	maven
org.junit.platform:junit-platform-launcher	1.8.2	间接依赖	maven
org.codehaus.groovy:groovy-swing	3.0.13	间接依赖	maven
org.codehaus.groovy:groovy-console	3.0.13	间接依赖	maven
org.codehaus.groovy:groovy-testng	3.0.13	间接依赖	maven
org.codehaus.groovy:groovy-docgenerator	3.0.13	间接依赖	maven
org.codehaus.groovy:groovy-cli-picocli	3.0.13	间接依赖	maven
com.google.code.gson:gson	2.6.2	间接依赖	maven
net.sourceforge.htmlunit:htmlunit-cssparser	1.14.0	间接依赖	maven
org.jboss.weld.module:weld-web	6.0.0-SNAPSHOT	直接依赖	maven
com.shapesecurity:salvation2	3.0.1	间接依赖	maven
org.jboss.weld:weld-core-test	6.0.0-SNAPSHOT	直接依赖	maven
org.jboss.shrinkwrap.descriptors:shrinkwrap-descriptors-api-base	2.0.0	间接依赖	maven
net.sourceforge.htmlunit:htmlunit	2.70.0	直接依赖	maven
org.apache.httpcomponents:httpmime	4.5.14	间接依赖	maven
org.codehaus.groovy:groovy-groovydoc	3.0.13	间接依赖	maven
org.jboss.weld:weld-lite-extension-translator	6.0.0-SNAPSHOT	直接依赖	maven
org.jboss.weld.se:weld-se-core	6.0.0-SNAPSHOT	直接依赖	maven
org.codehaus.groovy:groovy-ant	3.0.13	间接依赖	maven
org.jboss.arquillian.core:arquillian-core-impl-base	1.8.0.Final	间接依赖	maven
org.jboss.arquillian.container:arquillian-container-test-impl-base	1.8.0.Final	间接依赖	maven
org.jboss.shrinkwrap:shrinkwrap-spi	1.2.6	间接依赖	maven
org.eclipse.jetty.websocket:websocket-client	9.4.50.v20221201	间接依赖	maven
org.codehaus.groovy:groovy-nio	3.0.13	间接依赖	maven
jline:jline	2.14.6	间接依赖	maven
org.jboss.arquillian.test:arquillian-test-api	1.8.0.Final	间接依赖	maven
commons-net:commons-net	3.9.0	间接依赖	maven
org.jboss.arquillian.config:arquillian-config-api	1.8.0.Final	间接依赖	maven
org.codehaus.groovy:groovy-sql	3.0.13	间接依赖	maven
net.sourceforge.htmlunit:htmlunit-core-js	2.70.0	间接依赖	maven
org.jboss.logging:jboss-logging	3.5.0.Final	直接依赖	maven
org.jboss.weld.se:weld-se-shaded	6.0.0-SNAPSHOT	直接依赖	maven
info.picocli:picocli	4.6.3	间接依赖	maven
jakarta.validation:jakarta.validation-api	3.0.2	直接依赖	maven
org.jboss.shrinkwrap:shrinkwrap-api	1.2.6	间接依赖	maven
jakarta.persistence:jakarta.persistence-api	3.1.0	直接依赖	maven
org.brotli:dec	0.1.2	间接依赖	maven
org.codehaus.groovy:groovy-astbuilder	3.0.13	间接依赖	maven
org.eclipse.jetty:jetty-util	9.4.50.v20221201	间接依赖	maven
org.eclipse.jetty:jetty-client	9.4.50.v20221201	间接依赖	maven
org.codehaus.groovy:groovy-xml	3.0.13	间接依赖	maven
org.jboss.weld.servlet:weld-servlet-core	6.0.0-SNAPSHOT	直接依赖	maven
org.jboss.arquillian.test:arquillian-test-impl-base	1.8.0.Final	间接依赖	maven
org.opentest4j:opentest4j	1.2.0	间接依赖	maven
org.jboss.jdeparser:jdeparser	2.0.3.Final	间接依赖	maven
org.codehaus.groovy:groovy-macro	3.0.13	间接依赖	maven
org.jboss.weld:weld-logging-tools	1.0.3.Final	直接依赖	maven
com.thoughtworks.qdox:qdox	1.12.1	间接依赖	maven
jakarta.ws.rs:jakarta.ws.rs-api	3.1.0	直接依赖	maven
org.jboss.weld.environment:weld-environment-common	6.0.0-SNAPSHOT	直接依赖	maven
org.jboss.shrinkwrap.resolver:shrinkwrap-resolver-api	3.2.1	间接依赖	maven
org.jboss.weld:weld-porting-package-tck	6.0.0-SNAPSHOT	直接依赖	maven
org.codehaus.groovy:groovy-all	3.0.13	直接依赖	maven
jakarta.interceptor:jakarta.interceptor-api	2.2.0-RC1	直接依赖	maven
org.jboss.shrinkwrap.descriptors:shrinkwrap-descriptors-spi	2.0.0	间接依赖	maven
org.codehaus.groovy:groovy	3.0.13	间接依赖	maven
org.glassfish:jakarta.el	5.0.0-M1	直接依赖	maven
org.slf4j:slf4j-api	1.7.36	间接依赖	maven
jakarta.inject:jakarta.inject-api	2.0.1	直接依赖	maven
org.eclipse.jetty:jetty-util	11.0.15	间接依赖	maven
org.jboss.spec.javax.servlet:jboss-servlet-api_4.0_spec	2.0.0.Final	直接依赖	maven
org.codehaus.groovy:groovy-json	3.0.13	间接依赖	maven
org.jboss.shrinkwrap:shrinkwrap-impl-base	1.2.6	直接依赖	maven
org.jboss.weld.examples.jsf.translator:weld-jsf-translator-ear	6.0.0-SNAPSHOT	直接依赖	maven
org.jboss.logging:jboss-logging-processor	2.2.1.Final	直接依赖	maven
com.github.javaparser:javaparser-core	3.24.2	间接依赖	maven
org.apache.ant:ant	1.10.12	间接依赖	maven
org.jboss.arquillian.container:arquillian-container-spi	1.8.0.Final	直接依赖	maven
org.jboss.arquillian.config:arquillian-config-impl-base	1.8.0.Final	间接依赖	maven
commons-io:commons-io	2.11.0	间接依赖	maven
org.apache.ant:ant-launcher	1.10.12	间接依赖	maven
org.eclipse.jetty:jetty-io	9.4.50.v20221201	间接依赖	maven
org.codehaus.groovy:groovy-test	3.0.13	间接依赖	maven
org.jboss.weld:weld-core-impl	6.0.0-SNAPSHOT	直接依赖	maven
jakarta.inject:jakarta.inject-tck	2.0.1	直接依赖	maven
org.jboss.arquillian.junit:arquillian-junit-core	1.8.0.Final	间接依赖	maven
org.junit.platform:junit-platform-engine	1.8.2	间接依赖	maven
org.jboss.arquillian.core:arquillian-core-spi	1.8.0.Final	间接依赖	maven
org.webjars:jquery	3.5.1	间接依赖	maven
net.sourceforge.htmlunit:htmlunit-xpath	2.70.0	间接依赖	maven
org.jboss.weld.examples.jsf.translator:weld-jsf-translator-ejb	6.0.0-SNAPSHOT	直接依赖	maven
org.apache.ant:ant-antlr	1.10.12	间接依赖	maven
org.jboss.logging:jboss-logging-annotations	2.2.1.Final	间接依赖	maven
org.testng:testng	7.4.0	直接依赖	maven
org.jboss.arquillian.container:arquillian-container-impl-base	1.8.0.Final	间接依赖	maven
jakarta.faces:jakarta.faces-api	4.0.1	直接依赖	maven
org.jboss.weld.module:weld-jsf	6.0.0-SNAPSHOT	直接依赖	maven
org.jboss.arquillian.core:arquillian-core-api	1.8.0.Final	间接依赖	maven
org.jboss.arquillian.config:arquillian-config-spi	1.8.0.Final	间接依赖	maven
org.apache.bcel:bcel	6.7.0	直接依赖	maven
junit:junit	4.13.2	直接依赖	maven
org.apache.commons:commons-text	1.10.0	间接依赖	maven
net.sourceforge.htmlunit:neko-htmlunit	2.70.0	间接依赖	maven
org.jboss.arquillian.junit:arquillian-junit-container	1.8.0.Final	直接依赖	maven
com.google.code.findbugs:jsr305	3.0.2	间接依赖	maven
org.jboss.arquillian.container:arquillian-container-test-spi	1.8.0.Final	间接依赖	maven
org.trimou:trimou-core	2.1.0.Final	间接依赖	maven
jakarta.enterprise:jakarta.enterprise.lang-model	4.1.0-M1	直接依赖	maven
org.jboss.arquillian.container:arquillian-container-test-api	1.8.0.Final	间接依赖	maven
org.eclipse.jetty:jetty-http	9.4.50.v20221201	间接依赖	maven
jakarta.enterprise:cdi-tck-ext-lib	4.1.0-M1	直接依赖	maven
org.codehaus.groovy:groovy-servlet	3.0.13	间接依赖	maven
org.codehaus.groovy:groovy-jsr223	3.0.13	间接依赖	maven
jakarta.annotation:jakarta.annotation-api	2.1.1	直接依赖	maven
org.apache.httpcomponents:httpclient	4.5.14	间接依赖	maven
org.codehaus.groovy:groovy-templates	3.0.13	间接依赖	maven
org.apache.ant:ant-junit	1.10.12	间接依赖	maven
org.jboss.weld:weld-spi	6.0.Alpha2	直接依赖	maven
org.jboss.weld.module:weld-ejb	6.0.0-SNAPSHOT	直接依赖	maven
org.jboss.classfilewriter:jboss-classfilewriter	1.3.0.Final	直接依赖	maven
org.jboss.weld.module:weld-jta	6.0.0-SNAPSHOT	直接依赖	maven
org.jboss.weld:weld-core-test-common	6.0.0-SNAPSHOT	直接依赖	maven
org.codehaus.groovy:groovy-groovysh	3.0.13	间接依赖	maven
org.eclipse.jetty.websocket:websocket-common	9.4.50.v20221201	间接依赖	maven
jakarta.enterprise:cdi-tck-api	4.1.0-M1	直接依赖	maven
com.github.spotbugs:spotbugs-annotations	4.7.3	直接依赖	maven
org.trimou:trimou-extension-gson	2.1.0.Final	间接依赖	maven
org.jboss.arquillian.test:arquillian-test-spi	1.8.0.Final	间接依赖	maven
commons-logging:commons-logging	1.2	间接依赖	maven
com.beust:jcommander	1.78	间接依赖	maven
org.jboss.weld:weld-api	6.0.Alpha2	直接依赖	maven
org.jboss.weld.examples.jsf.translator:weld-jsf-translator-war	6.0.0-SNAPSHOT	直接依赖	maven
org.junit.jupiter:junit-jupiter-api	5.8.2	间接依赖	maven
jakarta.el:jakarta.el-api	5.0.1	直接依赖	maven
jakarta.ejb:jakarta.ejb-api	4.0.1	直接依赖	maven
org.apache.commons:commons-lang3	3.12.0	间接依赖	maven

SBOM 开源软件漏洞

赞 (0)

typecho/typecho 软件分析报告

上一篇 2024年2月7日

videolan/vlc 软件分析报告

下一篇 2024年2月7日

bradfitz/gomemcache 软件分析报告

基础信息项目名称：bradfitz/gomemcache 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716440845666353152/1716440845821542400 此报告由Murphysec提…

软件分析 2023年10月23日
00
deepmind/lab 软件分析报告

基础信息项目名称：deepmind/lab 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717108308598980608/1717108309186183168 此报告由Murphysec提供漏洞列表 …

软件分析 2023年10月25日
00
expressjs/generator 软件分析报告

基础信息项目名称：expressjs/generator 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717599396141072384/1717599396292067328 此报告由Murphysec提…

软件分析 2023年10月27日
00
foxythemes/jira-cli 软件分析报告

基础信息项目名称：foxythemes/jira-cli 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717960195564158976/1717960195664822272 此报告由Murphysec提…

软件分析 2023年10月28日
00
widebluesky/Common4Android 软件分析报告

基础信息项目名称：widebluesky/Common4Android 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1719716011880087552/1719716012962217984 此报告由Mur…

软件分析 2023年11月1日
00