magefree/mage 软件分析报告

基础信息

项目名称:magefree/mage

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1757328446857453568/1757328447121694720

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
H2数据库权限检验不当漏洞 在文件访问前对链接解析不恰当(链接跟随) MPS-2018-10344 CVE-2018-14335 中危
Apache Log4j SocketServer反序列化漏洞 反序列化 MPS-2019-17271 CVE-2019-17571 严重
Apache Log4j2 SmtpAppender证书验证不当漏洞 证书验证不恰当 MPS-2020-6684 CVE-2020-9488 低危
Apache Commons Compress 安存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2021-10550 CVE-2021-35517 高危
Apache Commons Compress 存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2021-10551 CVE-2021-35516 高危
Apache Commons Compress 存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2021-10564 CVE-2021-36090 高危
Apache Commons Compress 无限循环漏洞 不可达退出条件的循环(无限循环) MPS-2021-10565 CVE-2021-35515 高危
H2数据库存在JNDI注入漏洞 反序列化 MPS-2021-33243 CVE-2021-42392 严重
Apache Log4j JMSAppender反序列化漏洞 反序列化 MPS-2021-38359 CVE-2021-4104 高危
David M. Lloyd jboss-remoting 资源管理错误漏洞 拒绝服务 MPS-2021-7523 CVE-2020-35510 中危
AWS SDK for Java 路径遍历漏洞 路径遍历 MPS-2022-11189 CVE-2022-31159 高危
com.google.code.gson:gson 存在BigDecimal拒绝服务漏洞 反序列化 MPS-2022-12287 CVE-2022-25647 高危
FasterXML Jackson-databind 拒绝服务漏洞 拒绝服务 MPS-2022-12500 中危
H2 Console 代码注入漏洞 代码注入 MPS-2022-1435 CVE-2022-23221 严重
Apache Log4j JDBCAppender SQL注入漏洞 SQL注入 MPS-2022-1444 CVE-2022-23305 严重
Apache Log4j Chainsaw反序列化漏洞 反序列化 MPS-2022-1445 CVE-2022-23307 高危
Apache Log4j 反序列化漏洞 反序列化 MPS-2022-1446 CVE-2022-23302 高危
Apache Shiro 权限绕过漏洞 授权检查错误 MPS-2022-17602 CVE-2022-32532 中危
jsoup XSS MPS-2022-51547 CVE-2022-36033 中危
Bouncy Castle 密码学问题 MPS-2022-54305 中危
protobuf-java 存在输入验证不当漏洞 拒绝服务 MPS-2022-56472 CVE-2022-3171 中危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞 拒绝服务 MPS-2022-58653 CVE-2022-42003 中危
FasterXML jackson-databind 小于2.13.4拒绝服务漏洞 拒绝服务 MPS-2022-58654 CVE-2022-42004 中危
IBM WebSphere Application Server Liberty 存在拒绝服务漏洞 对因果或异常条件的不恰当检查 MPS-2022-59813 CVE-2022-3509 中危
Google protobuf 安全漏洞 MPS-2022-59814 CVE-2022-3510 高危
FasterXML jackson-databind 拒绝服务漏洞 越界写入 MPS-2022-6242 CVE-2020-36518 高危
jackson-databind 拒绝服务漏洞 拒绝服务 MPS-2023-8438 CVE-2021-46877 中危
Bouncy Castle 信任管理问题漏洞 证书验证不恰当 MPS-i6w7-d48e CVE-2023-33201 中危
Guava 创建拥有不安全权限的临时文件 MPS-mfku-xzh3 CVE-2023-2976 中危
【存在争议】FasterXML jackson-databind 代码问题漏洞 不加限制或调节的资源分配 MPS-z1bx-p8y2 CVE-2023-35116 中危
SQLite JDBC 远程代码执行漏洞 代码注入 MPS-zprx-hdwf CVE-2023-32697 高危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
org.xerial:sqlite-jdbc 3.32.3.2 3.41.2.2 直接依赖 建议修复
com.h2database:h2 1.4.197 直接依赖 建议修复
log4j:log4j 1.2.17 间接依赖 建议修复
org.apache.commons:commons-compress 1.20 1.21 间接依赖 建议修复
com.amazonaws:aws-java-sdk-s3 1.12.78 1.12.261 直接依赖 建议修复
com.fasterxml.jackson.core:jackson-databind 2.12.3 2.16.0 间接依赖 建议修复
org.apache.shiro:shiro-core 1.8.0 1.9.1 直接依赖 建议修复
com.google.guava:guava 30.1.1-jre 32.0.0-jre 直接依赖 可选修复
org.jsoup:jsoup 1.14.3 1.15.3 直接依赖 可选修复
org.bouncycastle:bcprov-jdk15on 1.68 间接依赖 可选修复
com.google.code.gson:gson 2.8.8 2.8.9 直接依赖 可选修复
org.jboss.remoting:jboss-remoting 2.5.4.SP5 5.0.20.Final 直接依赖 可选修复
com.google.protobuf:protobuf-java 3.19.3 3.19.6 直接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
Apache-2.0 73
EDL-1.0 5
LGPL-3.0 5
EPL-1.0 9
BSD-3-Clause 3
CDDL-1.1 9
GPL-2.0-with-classpath-exception 4
LGPL-2.0 2
BSD-2-Clause 4
SPL-1.0 1
MIT 5
自定义许可证 1
ISC 2
MPL-1.1 1
LGPL-2.1 2
BSD-4-Clause 1
AND 1
WTFPL 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
org.mage:mage-tournament-sealed 1.4.50 直接依赖 maven
org.mage:mage 1.4.50 直接依赖 maven
org.apache.shiro:shiro-cache 1.8.0 间接依赖 maven
net.java.truevfs:truevfs-kernel-impl 0.14.0 间接依赖 maven
org.glassfish.jaxb:txw2 3.0.2 间接依赖 maven
org.swinglabs:swing-worker 1.1 间接依赖 maven
org.apache.httpcomponents:httpclient 4.5.13 间接依赖 maven
org.apache.xmlgraphics:xmlgraphics-commons 2.9 间接依赖 maven
org.mage:mage-counter-plugin 0.1 直接依赖 maven
org.mobicents.external.tritonus:tritonus_share 0.3.6 直接依赖 maven
org.apache.xmlgraphics:batik-i18n 1.17 间接依赖 maven
org.apache.xmlgraphics:batik-util 1.17 间接依赖 maven
org.swinglabs:swingx 1.6.1 直接依赖 maven
org.mage:mage-game-freeformunlimitedcommander 1.4.50 直接依赖 maven
org.mage:mage-game-freeforall 1.4.50 直接依赖 maven
com.jgoodies:forms 1.2.1 直接依赖 maven
net.java.truecommons:truecommons-cio 2.5.0 间接依赖 maven
net.java.truevfs:truevfs-driver-zip 0.14.0 间接依赖 maven
org.mage:mage-game-oathbreakerfreeforall 1.4.50 直接依赖 maven
org.jetlang:jetlang 0.2.23 直接依赖 maven
org.apache.xmlgraphics:batik-anim 1.17 间接依赖 maven
org.mage:mage-game-momirfreeforall 1.4.50 直接依赖 maven
software.amazon.ion:ion-java 1.0.2 间接依赖 maven
net.java.truecommons:truecommons-key-default 2.5.0 间接依赖 maven
com.google.guava:failureaccess 1.0.1 间接依赖 maven
net.java.truecommons:truecommons-shed 2.5.0 间接依赖 maven
com.fasterxml.jackson.core:jackson-annotations 2.12.3 间接依赖 maven
com.google.errorprone:error_prone_annotations 2.5.1 间接依赖 maven
com.sun.xml.bind:jaxb-impl 2.3.1 直接依赖 maven
net.java.truevfs:truevfs-profile-base 0.14.0 直接依赖 maven
com.google.protobuf:protobuf-java 3.19.3 直接依赖 maven
org.apache.shiro:shiro-config-core 1.8.0 间接依赖 maven
org.jboss:jboss-common-core 2.5.0.Final 直接依赖 maven
org.apache.xmlgraphics:batik-gvt 1.17 间接依赖 maven
com.fasterxml.jackson.core:jackson-databind 2.12.3 间接依赖 maven
net.java.truecommons:truecommons-services 2.5.0 间接依赖 maven
org.apache.xmlgraphics:batik-awt-util 1.17 间接依赖 maven
javax.activation:javax.activation-api 1.2.0 间接依赖 maven
javazoom:jlayer 1.0.1 直接依赖 maven
org.mage:mage-game-brawlduel 1.4.50 直接依赖 maven
org.apache.xmlgraphics:batik-dom 1.17 间接依赖 maven
org.apache.xmlgraphics:batik-svggen 1.17 间接依赖 maven
org.mage:mage-player-ai 1.4.50 直接依赖 maven
org.jvnet.mimepull:mimepull 1.9.3 间接依赖 maven
org.glassfish.jaxb:jaxb-core 3.0.2 直接依赖 maven
org.mage:mage-sets 1.4.50 直接依赖 maven
net.java.truevfs:truevfs-access-swing 0.14.0 间接依赖 maven
net.java.truecommons:truecommons-logging 2.5.0 间接依赖 maven
asm:asm 3.0 间接依赖 maven
com.google.guava:guava 30.1.1-jre 直接依赖 maven
concurrent:concurrent 1.3.4 直接依赖 maven
org.apache.xmlgraphics:batik-transcoder 1.17 直接依赖 maven
org.apache.xmlgraphics:batik-parser 1.17 间接依赖 maven
javax.activation:activation 1.1 间接依赖 maven
org.mage:mage-game-brawlfreeforall 1.4.50 直接依赖 maven
org.mage:mage-player-human 1.4.50 直接依赖 maven
xml-apis:xml-apis 1.4.01 间接依赖 maven
org.mage:mage-player-ai-ma 1.4.50 直接依赖 maven
com.googlecode.jspf:jspf-core 0.9.1 直接依赖 maven
com.amazonaws:aws-java-sdk-core 1.12.78 间接依赖 maven
org.swinglabs:swing-layout 1.0.3 直接依赖 maven
org.checkerframework:checker-qual 3.8.0 间接依赖 maven
org.mage:mage-server 1.4.50 直接依赖 maven
org.apache.xmlgraphics:batik-ext 1.17 间接依赖 maven
org.apache.xmlgraphics:batik-css 1.17 间接依赖 maven
com.googlecode.soundlibs:tritonus-share 0.3.7.4 间接依赖 maven
org.slf4j:slf4j-log4j12 1.7.32 直接依赖 maven
org.mage:mage-tournament-boosterdraft 1.4.50 直接依赖 maven
org.mage:mage-game-custompillaroftheparunsduel 1.4.50 直接依赖 maven
com.sun.istack:istack-commons-runtime 4.0.1 间接依赖 maven
org.apache.shiro:shiro-event 1.8.0 间接依赖 maven
asm:asm-commons 3.0 间接依赖 maven
net.java.balloontip:balloontip 1.2.4.1 直接依赖 maven
org.apache.shiro:shiro-crypto-cipher 1.8.0 间接依赖 maven
org.jboss.remoting:jboss-remoting 2.5.4.SP5 直接依赖 maven
commons-io:commons-io 2.11.0 间接依赖 maven
org.apache.shiro:shiro-crypto-hash 1.8.0 间接依赖 maven
javax.mail:mail 1.5.0-b01 直接依赖 maven
org.mage:mage-game-oathbreakerduel 1.4.50 直接依赖 maven
javax.ws.rs:jsr311-api 1.1.1 间接依赖 maven
jboss:jboss-serialization 4.2.2.GA 直接依赖 maven
com.fasterxml.jackson.core:jackson-core 2.12.3 间接依赖 maven
trove:trove 1.0.2 直接依赖 maven
com.j256.ormlite:ormlite-core 5.7 间接依赖 maven
org.mage:mage-game-momirduel 1.4.50 直接依赖 maven
com.sun.activation:jakarta.activation 2.0.1 间接依赖 maven
com.google.j2objc:j2objc-annotations 1.3 间接依赖 maven
javax.xml.bind:jaxb-api 2.3.1 直接依赖 maven
com.googlecode.soundlibs:mp3spi 1.9.5.4 直接依赖 maven
org.javassist:javassist 3.26.0-GA 间接依赖 maven
com.j256.ormlite:ormlite-jdbc 5.7 直接依赖 maven
net.java.truecommons:truecommons-key-spec 2.5.0 间接依赖 maven
net.java.truecommons:truecommons-io 2.5.0 间接依赖 maven
org.xerial:sqlite-jdbc 3.32.3.2 直接依赖 maven
org.apache.commons:commons-compress 1.20 间接依赖 maven
net.java.truevfs:truevfs-comp-zip 0.14.0 间接依赖 maven
org.mage:mage-game-commanderduel 1.4.50 直接依赖 maven
org.apache.shiro:shiro-crypto-core 1.8.0 间接依赖 maven
org.ocpsoft.prettytime:prettytime 4.0.6.Final 直接依赖 maven
jdom:jdom 1.0 间接依赖 maven
org.mage:mage-player-ai-mcts 1.4.50 直接依赖 maven
com.amazonaws:jmespath-java 1.12.78 间接依赖 maven
net.java.truevfs:truevfs-comp-ibm437 0.14.0 间接依赖 maven
net.java.truevfs:truevfs-driver-file 0.14.0 间接依赖 maven
commons-beanutils:commons-beanutils 1.9.4 间接依赖 maven
org.mage:mage-game-tinyleadersduel 1.4.50 直接依赖 maven
net.java.truevfs:truevfs-driver-jar 0.14.0 间接依赖 maven
org.apache.xmlgraphics:batik-xml 1.17 间接依赖 maven
xml-apis:xml-apis-ext 1.3.04 间接依赖 maven
org.apache.xmlgraphics:batik-shared-resources 1.17 间接依赖 maven
org.mage:mage-game-freeformcommanderfreeforall 1.4.50 直接依赖 maven
org.slf4j:slf4j-api 1.7.32 间接依赖 maven
joda-time:joda-time 2.8.1 间接依赖 maven
org.apache.commons:commons-lang3 3.11 直接依赖 maven
com.amazonaws:aws-java-sdk-kms 1.12.78 间接依赖 maven
org.apache.xmlgraphics:batik-svg-dom 1.17 间接依赖 maven
com.amazonaws:aws-java-sdk-s3 1.12.78 直接依赖 maven
commons-collections:commons-collections 3.2.2 间接依赖 maven
org.apache.xmlgraphics:batik-script 1.17 间接依赖 maven
com.jhlabs:filters 2.0.235 间接依赖 maven
global.namespace.service-wight:service-wight-annotation 0.6.0 间接依赖 maven
net.java.truevfs:truevfs-kernel-spec 0.14.0 间接依赖 maven
org.mage:mage-game-pennydreadfulcommanderfreeforall 1.4.50 直接依赖 maven
asm:asm-tree 3.0 间接依赖 maven
commons-logging:commons-logging 1.1.3 间接依赖 maven
com.google.code.gson:gson 2.8.8 直接依赖 maven
com.sun.jersey:jersey-core 1.19.4 直接依赖 maven
org.jdesktop:beansbinding 1.2.1 直接依赖 maven
net.java.truevfs:truevfs-access 0.14.0 间接依赖 maven
javax.inject:javax.inject 1 间接依赖 maven
net.sf.trove4j:trove4j 3.0.3 直接依赖 maven
org.mage:mage-game-commanderfreeforall 1.4.50 直接依赖 maven
net.java.truecommons:truecommons-key-swing 2.5.0 间接依赖 maven
org.mage:mage-tournament-constructed 1.4.50 直接依赖 maven
org.apache.xmlgraphics:batik-constants 1.17 间接依赖 maven
com.h2database:h2 1.4.197 直接依赖 maven
com.fasterxml.jackson.dataformat:jackson-dataformat-cbor 2.12.3 间接依赖 maven
com.google.code.findbugs:jsr305 3.0.2 间接依赖 maven
log4j:log4j 1.2.17 间接依赖 maven
com.intellij:forms_rt 7.0.3 直接依赖 maven
org.jsoup:jsoup 1.14.3 直接依赖 maven
org.mage:mage-player-ai-draftbot 1.4.50 直接依赖 maven
commons-codec:commons-codec 1.15 间接依赖 maven
org.mage:mage-game-twoplayerduel 1.4.50 直接依赖 maven
org.mage:mage-common 1.4.50 直接依赖 maven
org.apache.commons:commons-lang3 3.12.0 间接依赖 maven
com.google.code.findbugs:annotations 3.0.1u2 间接依赖 maven
org.mage:mage-game-canadianhighlanderduel 1.4.50 直接依赖 maven
com.sun.jersey.contribs:jersey-multipart 1.19.4 直接依赖 maven
org.apache.shiro:shiro-config-ogdl 1.8.0 间接依赖 maven
org.apache.xmlgraphics:batik-bridge 1.17 间接依赖 maven
jakarta.xml.bind:jakarta.xml.bind-api 3.0.1 间接依赖 maven
net.java.truecommons:truecommons-key-console 2.5.0 间接依赖 maven
org.unbescape:unbescape 1.1.6.RELEASE 直接依赖 maven
global.namespace.service-wight:service-wight-core 0.6.0 间接依赖 maven
org.mage:mage-deck-limited 1.4.50 直接依赖 maven
org.reflections:reflections 0.9.12 直接依赖 maven
org.apache.httpcomponents:httpcore 4.4.13 间接依赖 maven
com.google.guava:listenablefuture 9999.0-empty-to-avoid-conflict-with-guava 间接依赖 maven
org.apache.commons:commons-compress 1.25.0 直接依赖 maven
com.googlecode.soundlibs:jlayer 1.0.1.4 间接依赖 maven
org.mage:mage-game-freeformcommanderduel 1.4.50 直接依赖 maven
org.bouncycastle:bcprov-jdk15on 1.68 间接依赖 maven
net.java.truevfs:truevfs-comp-zipdriver 0.14.0 间接依赖 maven
com.sun.jersey:jersey-client 1.19.4 直接依赖 maven
org.apache.shiro:shiro-lang 1.8.0 间接依赖 maven
org.mage:mage-deck-constructed 1.4.50 直接依赖 maven
org.mage:mage-client 1.4.50 直接依赖 maven
org.apache.shiro:shiro-core 1.8.0 直接依赖 maven
org.jboss.logging:jboss-logging-spi 2.1.2.GA 间接依赖 maven
(0)
上一篇 2024年2月13日
下一篇 2024年2月13日

相关推荐

  • TwiN/gatus 软件分析报告

    基础信息 项目名称:TwiN/gatus 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1746062447569707008/1762341193844424704 此报告由Murphysec提供 漏洞列表 漏洞…

    软件分析 2024年2月27日
    0
  • lassjs/lass 软件分析报告

    基础信息 项目名称:lassjs/lass 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721361448159760384/1721361448352698368 此报告由Murphysec提供 漏洞列表 漏…

    软件分析 2023年11月6日
    0
  • dylang/npm-check 软件分析报告

    基础信息 项目名称:dylang/npm-check 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1717352158654676992/1717352159082496000 此报告由Murphysec提供 漏…

    软件分析 2023年10月26日
    0
  • cenzuhai/native3d 软件分析报告

    基础信息 项目名称:cenzuhai/native3d 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1716609929385213952/1716609929641066496 此报告由Murphysec提供 …

    软件分析 2023年10月24日
    0
  • Justineo/github-hovercard 软件分析报告

    基础信息 项目名称:Justineo/github-hovercard 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1719331643901919232/1719331644128411648 此报告由Murp…

    软件分析 2023年10月31日
    0