square/subzero 软件分析报告

基础信息

项目名称:square/subzero

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1755805799729926144/1755805799776063488

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
Eclipse Jetty 资源管理错误漏洞 拒绝服务 MPS-0e59-bdsi CVE-2023-36478 高危
mkdocs 存在跨站脚本漏洞 XSS MPS-2022-14989 中危
Eclipse Jetty URI注入漏洞 注入 MPS-2022-18060 CVE-2022-2047 低危
Certifi 存在数据真实性验证不充分漏洞 对数据真实性的验证不充分 MPS-2022-1918 CVE-2022-23491 中危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞 拒绝服务 MPS-2022-58653 CVE-2022-42003 中危
MkDocs 存储型XSS漏洞 XSS MPS-2022-6935 中危
Red Hat AMQ 敏感信息泄露漏洞 通过错误消息导致的信息暴露 MPS-2023-4625 CVE-2023-0833 中危
Eclipse Jetty 资源管理错误漏洞 拒绝服务 MPS-2023-4997 CVE-2023-26048 中危
Eclipse Jetty 信息泄露漏洞 XSS MPS-2023-4998 CVE-2023-26049 中危
urllib3 安全漏洞 MPS-46py-nxai CVE-2023-45803 中危
Eclipse Jetty 安全漏洞 MPS-49ot-3w07 CVE-2023-40167 中危
Eclipse Jetty 安全漏洞 引号语法转义处理不恰当 MPS-9q53-gmbl CVE-2023-36479 中危
Okio 安全漏洞 数值类型间的不正确转换 MPS-a2tx-d4fb CVE-2023-3635 高危
Certifi 数据伪造问题漏洞 对数据真实性的验证不充分 MPS-ck78-r6zg CVE-2023-37920 严重
logback 安全漏洞 反序列化 MPS-e8pm-na64 CVE-2023-6378 高危
Requests Proxy-Authorization 标头泄露漏洞 未授权敏感信息泄露 MPS-hr61-tzey CVE-2023-32681 中危
Bouncy Castle 信任管理问题漏洞 证书验证不恰当 MPS-i6w7-d48e CVE-2023-33201 中危
Quality Open Software Logback 安全漏洞 MPS-n41z-dwb8 CVE-2023-6481 高危
urllib3 HTTP重定向信息泄露漏洞 未授权敏感信息泄露 MPS-s0oy-afbw CVE-2023-43804 高危
【存在争议】FasterXML jackson-databind 代码问题漏洞 不加限制或调节的资源分配 MPS-z1bx-p8y2 CVE-2023-35116 中危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
certifi 2020.12.5 2023.7.22 间接依赖 建议修复
requests 2.25.1 2.31.0 间接依赖 建议修复
com.fasterxml.jackson.core:jackson-databind 2.13.5 2.16.0 间接依赖 建议修复
org.eclipse.jetty:jetty-server 9.4.51.v20230217 9.4.51 间接依赖 建议修复
com.squareup.okio:okio 1.17.2 3.4.0 间接依赖 建议修复
urllib3 1.26.5 1.26.18 间接依赖 建议修复
org.eclipse.jetty:jetty-servlets 9.4.51.v20230217 9.4.52 间接依赖 可选修复
com.squareup.okhttp3:okhttp 3.14.9 4.9.2 直接依赖 可选修复
org.bouncycastle:bcprov-jdk15to18 1.69 1.74 直接依赖 可选修复
org.eclipse.jetty:jetty-http 9.4.51.v20230217 11.0.16 间接依赖 可选修复
ch.qos.logback:logback-classic 1.2.12 1.3.12 间接依赖 可选修复
ch.qos.logback:logback-core 1.2.12 1.3.14 间接依赖 可选修复
mkdocs 1.2.3 1.3.0 间接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
EDL-1.0 7
Apache-2.0 83
MIT 22
EPL-1.0 13
EPL-2.0 15
GPL-2.0-with-classpath-exception 15
BSD-2-Clause 6
BSD-3-Clause 14
Public-Domain 5
W3C 5
CC0-1.0 1
GPL-1.0 1
LGPL-2.1 3
CC-BY-2.5 1
LGPL-2.1-only 1
GPL-3.0-or-later 1
自定义许可证 2
LGPL-2.0 1
MPL-2.0 1
) 1
MPL-1.1 1
UCL-1.0 1
OR 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
jakarta.xml.bind:jakarta.xml.bind-api 2.3.3 间接依赖 maven
io.dropwizard:dropwizard-logging 2.1.7 间接依赖 maven
com.fasterxml.jackson.dataformat:jackson-dataformat-yaml 2.13.5 间接依赖 maven
org.slf4j:slf4j-api 1.7.32 直接依赖 maven
io.dropwizard.metrics:metrics-servlets 4.2.19 间接依赖 maven
github.com/alecthomas/units v0.0.0-20151022065526-2efee857e7cf 直接依赖 go
urllib3 1.26.5 间接依赖 pip
org.hibernate.validator:hibernate-validator 6.2.5.Final 间接依赖 maven
io.dropwizard.metrics:metrics-jetty9 4.2.19 间接依赖 maven
io.dropwizard.metrics:metrics-logback 4.2.19 间接依赖 maven
org.jboss.logging:jboss-logging 3.4.1.Final 间接依赖 maven
org.eclipse.jetty:jetty-continuation 9.4.51.v20230217 间接依赖 maven
org.eclipse.jetty:jetty-servlets 9.4.51.v20230217 间接依赖 maven
com.squareup.okio:okio 1.17.2 间接依赖 maven
io.dropwizard:dropwizard-jetty 2.1.7 间接依赖 maven
io.dropwizard:dropwizard-servlets 2.1.7 间接依赖 maven
requests 2.25.1 间接依赖 pip
org.glassfish.hk2.external:aopalliance-repackaged 2.6.1 间接依赖 maven
watchdog 2.1.6 间接依赖 pip
org.glassfish.jersey.ext:jersey-bean-validation 2.39.1 间接依赖 maven
com.fasterxml.jackson.module:jackson-module-parameter-names 2.13.5 间接依赖 maven
io.dropwizard.metrics:metrics-json 4.2.19 间接依赖 maven
org.checkerframework:checker-qual 3.33.0 间接依赖 maven
org.glassfish.jersey.containers:jersey-container-servlet-core 2.39.1 间接依赖 maven
com.fasterxml:classmate 1.5.1 间接依赖 maven
zipp 3.6.0 间接依赖 pip
org.eclipse.jetty:jetty-security 9.4.51.v20230217 间接依赖 maven
org.eclipse.jetty:jetty-servlet 9.4.51.v20230217 间接依赖 maven
importlib-metadata 4.8.1 间接依赖 pip
org.glassfish.jersey.core:jersey-common 2.39.1 间接依赖 maven
jakarta.validation:jakarta.validation-api 2.0.2 间接依赖 maven
ch.qos.logback:logback-classic 1.2.12 间接依赖 maven
net.jcip:jcip-annotations 1.0 直接依赖 maven
click 8.0.3 间接依赖 pip
com.fasterxml.jackson.module:jackson-module-jaxb-annotations 2.13.5 间接依赖 maven
com.fasterxml.jackson.module:jackson-module-blackbird 2.13.5 间接依赖 maven
org.eclipse.jetty:jetty-io 9.4.51.v20230217 间接依赖 maven
chardet 4.0.0 间接依赖 pip
io.dropwizard:dropwizard-metrics 2.1.7 间接依赖 maven
Jinja2 3.0.2 间接依赖 pip
org.slf4j:log4j-over-slf4j 1.7.36 间接依赖 maven
com.google.guava:failureaccess 1.0.1 间接依赖 maven
pyyaml_env_tag 0.1 间接依赖 pip
jakarta.inject:jakarta.inject-api 1.0.5 间接依赖 maven
jakarta.ws.rs:jakarta.ws.rs-api 2.1.6 间接依赖 maven
com.google.zxing:core 3.5.0 直接依赖 maven
com.beust:jcommander 1.82 间接依赖 maven
io.dropwizard:dropwizard-lifecycle 2.1.7 间接依赖 maven
::shared 直接依赖 maven
org.yaml:snakeyaml 2.0 直接依赖 maven
ghp-import 2.0.2 间接依赖 pip
io.dropwizard:dropwizard-request-logging 2.1.7 间接依赖 maven
com.fasterxml.jackson.core:jackson-databind 2.13.5 间接依赖 maven
org.slf4j:jcl-over-slf4j 1.7.36 间接依赖 maven
org.eclipse.jetty:jetty-http 9.4.51.v20230217 间接依赖 maven
com.google.protobuf:protobuf-java 3.21.7 直接依赖 maven
org.slf4j:jul-to-slf4j 1.7.36 间接依赖 maven
com.google.guava:guava 32.0.1-jre 直接依赖 maven
pyparsing 2.4.7 间接依赖 pip
com.fasterxml.jackson:jackson-bom 2.13.5 间接依赖 maven
io.dropwizard:dropwizard-jackson 2.1.7 间接依赖 maven
idna 2.10 间接依赖 pip
org.glassfish.hk2:osgi-resource-locator 1.0.3 间接依赖 maven
io.dropwizard.metrics:metrics-annotation 4.2.19 间接依赖 maven
io.dropwizard.metrics:metrics-healthchecks 4.2.19 间接依赖 maven
six 1.16.0 间接依赖 pip
PyYAML 6.0 间接依赖 pip
com.fasterxml.jackson.datatype:jackson-datatype-guava 2.13.5 间接依赖 maven
jakarta.activation:jakarta.activation-api 1.2.2 间接依赖 maven
io.dropwizard.metrics:metrics-jvm 4.2.19 间接依赖 maven
winflexbison 2.5.22 间接依赖
org.glassfish.hk2:hk2-locator 2.6.1 间接依赖 maven
gopkg.in/alecthomas/kingpin.v2 v2.2.6 直接依赖 go
jakarta.servlet:jakarta.servlet-api 4.0.4 间接依赖 maven
Markdown 3.3.4 间接依赖 pip
jakarta.annotation:jakarta.annotation-api 1.3.5 间接依赖 maven
io.dropwizard:dropwizard-configuration 2.1.7 间接依赖 maven
org.glassfish.hk2:hk2-utils 2.6.1 间接依赖 maven
com.helger:profiler 1.1.1 间接依赖 maven
MarkupSafe 2.0.1 间接依赖 pip
org.glassfish.jersey.core:jersey-client 2.39.1 间接依赖 maven
com.google.zxing:javase 3.5.0 直接依赖 maven
io.dropwizard:dropwizard-util 2.1.7 间接依赖 maven
org.glassfish.jersey.containers:jersey-container-servlet 2.39.1 间接依赖 maven
org.apache.commons:commons-lang3 3.12.0 间接依赖 maven
com.fasterxml.jackson.core:jackson-annotations 2.13.5 间接依赖 maven
com.fasterxml.jackson.jaxrs:jackson-jaxrs-json-provider 2.13.5 间接依赖 maven
ch.qos.logback:logback-access 1.2.12 间接依赖 maven
com.google.guava:listenablefuture 9999.0-empty-to-avoid-conflict-with-guava 间接依赖 maven
io.dropwizard.logback:logback-throttling-appender 1.1.10 间接依赖 maven
certifi 2020.12.5 间接依赖 pip
com.google.code.gson:gson 2.8.9 间接依赖 maven
org.eclipse.jetty:jetty-util 9.4.51.v20230217 间接依赖 maven
org.eclipse.jetty.toolchain.setuid:jetty-setuid-java 1.0.4 间接依赖 maven
com.fasterxml.jackson.datatype:jackson-datatype-joda 2.13.5 间接依赖 maven
io.dropwizard:dropwizard-core 2.1.7 直接依赖 maven
org.glassfish.hk2:hk2-api 2.6.1 间接依赖 maven
org.eclipse.jetty:jetty-server 9.4.51.v20230217 间接依赖 maven
psutil 间接依赖 pip
com.squareup.okhttp3:okhttp 3.14.9 直接依赖 maven
io.dropwizard.metrics:metrics-core 4.2.19 间接依赖 maven
net.sourceforge.argparse4j:argparse4j 0.9.0 间接依赖 maven
io.dropwizard:dropwizard-jersey 2.1.7 间接依赖 maven
ch.qos.logback:logback-core 1.2.12 间接依赖 maven
mergedeep 1.3.4 间接依赖 pip
com.google.j2objc:j2objc-annotations 2.8 间接依赖 maven
com.google.errorprone:error 间接依赖 maven
org.glassfish.jersey.ext:jersey-metainf-services 2.39.1 间接依赖 maven
org.eclipse.jetty:jetty-util-ajax 9.4.51.v20230217 间接依赖 maven
org.glassfish.jersey.core:jersey-server 2.39.1 间接依赖 maven
io.dropwizard.metrics:metrics-jmx 4.2.19 间接依赖 maven
org.javassist:javassist 3.29.2-GA 间接依赖 maven
com.google.code.findbugs:jsr305 3.0.2 直接依赖 maven
org.bouncycastle:bcprov-jdk15to18 1.69 直接依赖 maven
python-dateutil 2.8.2 间接依赖 pip
gamenetworkingsockets 1.3.0 间接依赖
io.dropwizard:dropwizard-assets 2.1.7 直接依赖 maven
io.dropwizard:dropwizard-validation 2.1.7 间接依赖 maven
com.fasterxml.jackson.core:jackson-core 2.13.5 间接依赖 maven
org.glassfish.hk2.external:jakarta.inject 2.6.1 间接依赖 maven
io.dropwizard.metrics:metrics-jersey2 4.2.19 间接依赖 maven
org.glassfish:jakarta.el 3.0.4 间接依赖 maven
com.github.ben-manes.caffeine:caffeine 2.9.3 间接依赖 maven
com.github.jai-imageio:jai-imageio-core 1.4.0 间接依赖 maven
github.com/alecthomas/template v0.0.0-20160405071501-a0175ee3bccc 直接依赖 go
org.slf4j:slf4j-api 1.7.36 间接依赖 maven
::proto 直接依赖 maven
joda-time:joda-time 2.12.5 间接依赖 maven
org.bouncycastle:bcprov-jdk18on 1.76 直接依赖 maven
com.fasterxml.jackson.datatype:jackson-datatype-jsr310 2.13.5 间接依赖 maven
:No dependencies 直接依赖 maven
github.com/jung-kurt/gofpdf v1.0.0 直接依赖 go
io.dropwizard:dropwizard-health 2.1.7 间接依赖 maven
packaging 21.2 间接依赖 pip
org.apache.commons:commons-text 1.10.0 间接依赖 maven
org.glassfish.jersey.inject:jersey-hk2 2.39.1 间接依赖 maven
com.fasterxml.jackson.datatype:jackson-datatype-jdk8 2.13.5 间接依赖 maven
com.google.protobuf:protobuf-java-util 3.21.7 直接依赖 maven
mkdocs 1.2.3 间接依赖 pip
com.fasterxml.jackson.jaxrs:jackson-jaxrs-base 2.13.5 间接依赖 maven
org.bitcoinj:bitcoinj-core 0.16.1 直接依赖 maven
(0)
上一篇 2024年2月9日
下一篇 2024年2月9日

相关推荐

  • dosyago/BrowserBox 软件分析报告

    基础信息 项目名称:dosyago/BrowserBox 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1717231235591094272/1717231235637231616 此报告由Murphysec提供…

    软件分析 2023年10月26日
    0
  • codera21/SimpleFramework 软件分析报告

    基础信息 项目名称:codera21/SimpleFramework 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721098442884775936/1729196449106710528 此报告由Murph…

    软件分析 2023年11月28日
    0
  • killop/anything_about_game 软件分析报告

    基础信息 项目名称:killop/anything_about_game 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721339096210112512/1730557202420686848 此报告由Mur…

    软件分析 2023年12月1日
    0
  • zyyoona7/EasyPopup 软件分析报告

    基础信息 项目名称:zyyoona7/EasyPopup 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1720435892344492032/1720435892763922432 此报告由Murphysec提供…

    软件分析 2023年11月3日
    0
  • hkbakke/bash-insulter 软件分析报告

    基础信息 项目名称:hkbakke/bash-insulter 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721258458421428224/1726487877474275328 此报告由Murphyse…

    软件分析 2023年11月20日
    0