dinstone/focus 软件分析报告

基础信息

项目名称:dinstone/focus

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1762244630176014336/1762244630209568768

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
LZ4 输入验证不恰当 MPS-2014-3344 CVE-2014-4611 中危
LZ4 拒绝服务漏洞 数字错误 MPS-2014-3351 CVE-2014-4715 中危
Apache HttpClient URI解析错误漏洞 XSS MPS-2020-17341 CVE-2020-13956 中危
commons-codec:commons-codec 存在信息泄露漏洞 未授权敏感信息泄露 MPS-2022-11853 低危
io.netty:netty-handler 存在证书验证不恰当漏洞 证书验证不恰当 MPS-2022-12067 中危
com.google.code.gson:gson 存在BigDecimal拒绝服务漏洞 反序列化 MPS-2022-12287 CVE-2022-25647 高危
snakeYAML 拒绝服务 MPS-2022-5144 CVE-2022-25857 高危
snakeYAML 栈缓冲区溢出 MPS-2022-56040 CVE-2022-38751 中危
snakeYAML 栈缓冲区溢出 MPS-2022-56041 CVE-2022-38752 低危
snakeYAML 栈缓冲区溢出 MPS-2022-56051 CVE-2022-38750 中危
snakeYAML 拒绝服务 MPS-2022-56081 CVE-2022-38749 中危
SnakeYAML 栈缓冲区溢出 MPS-2022-58478 CVE-2022-41854 中危
FasterXML jackson-databind 小于2.14.0-rc1拒绝服务漏洞 拒绝服务 MPS-2022-58653 CVE-2022-42003 中危
FasterXML jackson-databind 小于2.13.4拒绝服务漏洞 拒绝服务 MPS-2022-58654 CVE-2022-42004 中危
Spring 处理 SpEL 存在拒绝服务漏洞 拒绝服务 MPS-2022-62833 CVE-2023-20861 中危
Spring Expression 存在拒绝服务漏洞 拒绝服务 MPS-2022-62835 CVE-2023-20863 高危
Spring Boot 欢迎页功能拒绝服务风险 拒绝服务 MPS-2022-62855 CVE-2023-20883 高危
snakeYAML 反序列化 MPS-2022-9425 CVE-2022-1471 高危
VMware Spring Boot 安全漏洞 MPS-9q4l-tvum CVE-2023-34055 中危
Netty 资源管理错误漏洞 不加限制或调节的资源分配 MPS-9u07-bna1 CVE-2023-34462 中危
logback 安全漏洞 反序列化 MPS-e8pm-na64 CVE-2023-6378 高危
Quality Open Software Logback 安全漏洞 MPS-n41z-dwb8 CVE-2023-6481 高危
【存在争议】FasterXML jackson-databind 代码问题漏洞 不加限制或调节的资源分配 MPS-z1bx-p8y2 CVE-2023-35116 中危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
io.netty:netty-handler 4.1.78.Final 4.1.94.final 间接依赖 建议修复
com.fasterxml.jackson.core:jackson-databind 2.12.6.1 2.16.0 间接依赖 建议修复
com.fasterxml.jackson.core:jackson-databind 2.14.0 2.16.0 直接依赖 建议修复
org.yaml:snakeyaml 1.30 2.0 间接依赖 建议修复
org.yaml:snakeyaml 1.29 2.0 间接依赖 建议修复
net.jpountz.lz4:lz4 1.2.0 1.3.0 直接依赖 可选修复
org.springframework.boot:spring-boot-autoconfigure 2.7.1 2.7.12 间接依赖 可选修复
ch.qos.logback:logback-core 1.2.11 1.3.14 间接依赖 可选修复
com.google.code.gson:gson 2.8.2 2.8.9 间接依赖 可选修复
org.apache.httpcomponents:httpclient 4.5.3 4.5.13 间接依赖 可选修复
ch.qos.logback:logback-classic 1.2.11 1.3.12 间接依赖 可选修复
commons-codec:commons-codec 1.10 1.13 间接依赖 可选修复
org.springframework.boot:spring-boot 2.7.1 2.7.18 间接依赖 可选修复
org.springframework:spring-expression 5.3.21 5.3.27 间接依赖 可选修复
org.apache.httpcomponents:httpclient 4.5.5 4.5.13 间接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
Apache-2.0 76
EPL-1.0 2
LGPL-2.1 2
MIT 2
BSD-3-Clause 2
EPL-2.0 1
GPL-2.0-with-classpath-exception 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
io.netty:netty-resolver 4.1.78.Final 间接依赖 maven
com.dinstone.focus:focus-transport-photon 1.2.0 直接依赖 maven
org.yaml:snakeyaml 1.30 间接依赖 maven
io.opentelemetry:opentelemetry-extension-incubator 1.33.0-alpha 间接依赖 maven
io.netty:netty-common 4.1.78.Final 间接依赖 maven
io.opentelemetry:opentelemetry-sdk-logs 1.33.0 间接依赖 maven
io.netty:netty-transport-native-unix-common 4.1.100.Final 间接依赖 maven
com.google.code.gson:gson 2.8.2 间接依赖 maven
io.prometheus:simpleclient_tracer_common 0.12.0 间接依赖 maven
org.apache.logging.log4j:log4j-api 2.17.2 间接依赖 maven
ch.qos.logback:logback-classic 1.2.11 间接依赖 maven
com.dinstone.focus:focus-server-core 1.2.0 直接依赖 maven
org.xerial.snappy:snappy-java 1.1.10.5 直接依赖 maven
com.fasterxml.jackson.core:jackson-databind 2.12.6.1 间接依赖 maven
org.apache.httpcomponents:httpcore 4.4.6 间接依赖 maven
io.opentelemetry:opentelemetry-context 1.33.0 间接依赖 maven
org.springframework:spring-expression 5.3.21 间接依赖 maven
com.fasterxml.jackson.core:jackson-core 2.14.0 间接依赖 maven
org.apache.httpcomponents:httpasyncclient 4.1.3 间接依赖 maven
commons-logging:commons-logging 1.2 间接依赖 maven
org.apache.httpcomponents:httpclient 4.5.5 间接依赖 maven
com.dinstone.focus:focus-transport-core 1.2.0 直接依赖 maven
org.springframework.boot:spring-boot-autoconfigure 2.7.1 间接依赖 maven
io.netty:netty-common 4.1.100.Final 间接依赖 maven
com.alibaba.nacos:nacos-encryption-plugin 2.1.1 间接依赖 maven
io.netty:netty-transport-native-unix-common 4.1.78.Final 间接依赖 maven
org.springframework:spring-beans 5.3.21 间接依赖 maven
com.dinstone.focus:focus-client-photon 1.2.0 直接依赖 maven
org.slf4j:jul-to-slf4j 1.7.36 间接依赖 maven
io.opentelemetry:opentelemetry-sdk 1.33.0 直接依赖 maven
org.apache.httpcomponents:httpcore 4.4.9 间接依赖 maven
com.fasterxml.jackson.datatype:jackson-datatype-jdk8 2.14.0 直接依赖 maven
org.springframework:spring-aop 5.3.21 间接依赖 maven
io.netty:netty-codec 4.1.78.Final 间接依赖 maven
io.protostuff:protostuff-runtime 1.8.0 直接依赖 maven
com.dinstone.loghub:loghub-core 1.3.1 直接依赖 maven
com.dinstone.focus:focus-serialize-core 1.2.0 直接依赖 maven
com.fasterxml.jackson.core:jackson-annotations 2.12.6 间接依赖 maven
com.fasterxml.jackson.datatype:jackson-datatype-jsr310 2.14.0 直接依赖 maven
org.yaml:snakeyaml 1.29 间接依赖 maven
commons-codec:commons-codec 1.15 间接依赖 maven
com.dinstone.focus:focus-server-photon 1.2.0 直接依赖 maven
com.tencent.polaris:polaris-all 1.14.2 直接依赖 maven
io.protostuff:protostuff-collectionschema 1.8.0 间接依赖 maven
org.apache.logging.log4j:log4j-to-slf4j 2.17.2 间接依赖 maven
io.prometheus:simpleclient 0.12.0 间接依赖 maven
com.fasterxml.jackson.core:jackson-annotations 2.14.0 间接依赖 maven
org.springframework.boot:spring-boot 2.7.1 间接依赖 maven
org.apache.httpcomponents:httpclient 4.5.3 间接依赖 maven
io.opentelemetry:opentelemetry-sdk-trace 1.33.0 间接依赖 maven
io.netty:netty-transport 4.1.100.Final 间接依赖 maven
io.opentelemetry:opentelemetry-api-events 1.33.0-alpha 间接依赖 maven
jakarta.annotation:jakarta.annotation-api 1.3.5 间接依赖 maven
io.prometheus:simpleclient_tracer_otel_agent 0.12.0 间接依赖 maven
io.netty:netty-codec 4.1.100.Final 直接依赖 maven
com.dinstone.focus:focus-core 1.2.0 直接依赖 maven
io.prometheus:simpleclient_tracer_otel 0.12.0 间接依赖 maven
com.alibaba.nacos:nacos-auth-plugin 2.1.1 间接依赖 maven
com.dinstone.focus:focus-transport-http2 1.2.0 直接依赖 maven
com.fasterxml.jackson.core:jackson-databind 2.14.0 直接依赖 maven
io.opentelemetry:opentelemetry-sdk-common 1.33.0 间接依赖 maven
io.netty:netty-codec-http2 4.1.100.Final 直接依赖 maven
ch.qos.logback:logback-core 1.2.11 间接依赖 maven
io.netty:netty-handler 4.1.100.Final 直接依赖 maven
com.dinstone.focus:focus-compress-core 1.2.0 直接依赖 maven
org.slf4j:slf4j-api 1.7.36 直接依赖 maven
org.springframework.boot:spring-boot-starter-logging 2.7.1 间接依赖 maven
io.netty:netty-handler 4.1.78.Final 间接依赖 maven
io.protostuff:protostuff-core 1.8.0 直接依赖 maven
io.opentelemetry:opentelemetry-api 1.33.0 直接依赖 maven
io.netty:netty-buffer 4.1.78.Final 间接依赖 maven
com.dinstone.photon:photon 1.2.1 直接依赖 maven
com.dinstone.loghub:loghub-slf4j 1.3.1 直接依赖 maven
io.netty:netty-buffer 4.1.100.Final 间接依赖 maven
org.apache.httpcomponents:httpcore-nio 4.4.6 间接依赖 maven
io.netty:netty-resolver 4.1.100.Final 间接依赖 maven
org.springframework:spring-jcl 5.3.21 间接依赖 maven
com.alibaba.nacos:nacos-client 2.1.1 直接依赖 maven
net.jpountz.lz4:lz4 1.2.0 直接依赖 maven
org.springframework:spring-core 5.3.21 间接依赖 maven
com.fasterxml.jackson.core:jackson-core 2.12.6 间接依赖 maven
io.netty:netty-transport 4.1.78.Final 间接依赖 maven
io.netty:netty-codec-http 4.1.100.Final 间接依赖 maven
commons-codec:commons-codec 1.10 间接依赖 maven
org.springframework:spring-context 5.3.21 间接依赖 maven
com.dinstone.focus:focus-client-core 1.2.0 直接依赖 maven
com.google.protobuf:protobuf-java 3.21.9 直接依赖 maven
io.protostuff:protostuff-api 1.8.0 间接依赖 maven
com.ecwid.consul:consul-api 1.4.5 直接依赖 maven
io.opentelemetry:opentelemetry-sdk-metrics 1.33.0 间接依赖 maven
org.jetbrains:annotations 17.0.0 直接依赖 maven
org.springframework.boot:spring-boot-starter 2.7.1 直接依赖 maven
(0)
上一篇 2024年2月27日
下一篇 2024年2月27日

相关推荐

  • xumeng/XMMultiSelectView 软件分析报告

    基础信息 项目名称:xumeng/XMMultiSelectView 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1720013496745852928/1720013496783601664 此报告由Murph…

    软件分析 2023年11月2日
    0
  • tornadoweb/tornado 软件分析报告

    基础信息 项目名称:tornadoweb/tornado 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1755251039928586240/1755251040050221056 此报告由Murphysec提供…

    软件分析 2024年2月7日
    0
  • Datawalke/Coordino 软件分析报告

    基础信息 项目名称:Datawalke/Coordino 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721125301659963392/1722634006859849728 此报告由Murphysec提供…

    软件分析 2023年11月9日
    0
  • iterative/dvc 软件分析报告

    基础信息 项目名称:iterative/dvc 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1718905032225193984/1718905076058996736 此报告由Murphysec提供 漏洞列表…

    软件分析 2023年10月30日
    0
  • MaterialDesignInXAML/MaterialDesignInXamlToolkit 软件分析报告

    基础信息 项目名称:MaterialDesignInXAML/MaterialDesignInXamlToolkit 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1755397213540061184/17553…

    软件分析 2024年2月8日
    0