基础信息
项目名称:alibaba/atlas
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1715663226078543872/1715663227647213568
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| Apache Struts 远程代码执行漏洞 | 输入验证不恰当 | MPS-2014-2167 | CVE-2014-0114 | 高危 |
| libpng 缓冲区错误漏洞 | 经典缓冲区溢出 | MPS-2015-5791 | CVE-2015-8126 | 高危 |
| libpng 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2016-0563 | CVE-2015-8472 | 高危 |
| Android libpng 提权漏洞 | 输入验证不恰当 | MPS-2016-3291 | CVE-2016-3751 | 高危 |
| libpng 安全漏洞 | 空指针取消引用 | MPS-2017-1020 | CVE-2016-10087 | 高危 |
| GNU Libiberty 安全漏洞 | 输入验证不恰当 | MPS-2017-1331 | CVE-2016-6131 | 高危 |
| libiberty 数字错误漏洞 | 整数溢出或环绕 | MPS-2017-2066 | CVE-2016-2226 | 高危 |
| libiberty 安全漏洞 | UAF | MPS-2017-2070 | CVE-2016-4487 | 中危 |
| libiberty 安全漏洞 | UAF | MPS-2017-2071 | CVE-2016-4488 | 中危 |
| libiberty 数字错误漏洞 | 整数溢出或环绕 | MPS-2017-2072 | CVE-2016-4489 | 中危 |
| libiberty 数字错误漏洞 | 整数溢出或环绕 | MPS-2017-2073 | CVE-2016-4490 | 中危 |
| libiberty 安全漏洞 | 缓冲区溢出 | MPS-2017-2074 | CVE-2016-4491 | 中危 |
| libiberty 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2017-2075 | CVE-2016-4492 | 中危 |
| libiberty 安全漏洞 | 越界读取 | MPS-2017-2076 | CVE-2016-4493 | 中危 |
| Apache Commons Compress 存在拒绝服务漏洞 | 不可达退出条件的循环(无限循环) | MPS-2018-11233 | CVE-2018-11771 | 中危 |
| dom4j | XPath盲注 | MPS-2018-11300 | CVE-2018-1000632 | 高危 |
| Fastjson | 代码注入 | MPS-2018-14062 | CVE-2017-18349 | 严重 |
| GNU Binutils 安全漏洞 | 不可达退出条件的循环(无限循环) | MPS-2018-14162 | CVE-2018-18700 | 中危 |
| GNU Binutils GNU libiberty 安全漏洞 | 拒绝服务 | MPS-2018-8266 | CVE-2018-12698 | 高危 |
| libpng 数字错误漏洞 | 除零错误 | MPS-2018-9315 | CVE-2018-13785 | 中危 |
| libpng 安全漏洞 | 输入验证不恰当 | MPS-2018-9648 | CVE-2018-14048 | 中危 |
| Apache Commons Beanutils 存在不可信数据的反序列化漏洞 | 反序列化 | MPS-2019-10233 | CVE-2019-10086 | 高危 |
| libpng 资源管理错误漏洞 | UAF | MPS-2019-1241 | CVE-2019-7317 | 中危 |
| GNU Binutils 缓冲区错误漏洞 | 越界读取 | MPS-2019-1889 | CVE-2019-9070 | 高危 |
| Fastjson | 使用外部可控制的输入来选择类或代码(不安全的反射) | MPS-2019-28847 | 严重 | |
| Fastjson | 拒绝服务 | MPS-2019-28848 | 严重 | |
| libpng 缓冲区错误漏洞 | 越界写入 | MPS-2019-7748 | CVE-2018-14550 | 高危 |
| libpng 输入验证错误漏洞 | 输入验证不恰当 | MPS-2019-7770 | CVE-2017-12652 | 严重 |
| Apache HttpClient URI解析错误漏洞 | XSS | MPS-2020-17341 | CVE-2020-13956 | 中危 |
| Fastjson | 使用外部可控制的输入来选择类或代码(不安全的反射) | MPS-2020-39708 | 严重 | |
| Fastjson | 反序列化 | MPS-2020-40828 | 高危 | |
| dom4j SaxReader函数存在 XXE 漏洞 | XXE | MPS-2020-6967 | CVE-2020-10683 | 严重 |
| Apache Commons Compress 安存在拒绝服务漏洞 | 不加限制或调节的资源分配 | MPS-2021-10550 | CVE-2021-35517 | 高危 |
| Apache Commons Compress 存在拒绝服务漏洞 | 不加限制或调节的资源分配 | MPS-2021-10564 | CVE-2021-36090 | 高危 |
| GNU libiberty 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2021-32366 | CVE-2021-3826 | 高危 |
| Apache Commons IO 存在路径遍历漏洞 | 路径遍历 | MPS-2021-4531 | CVE-2021-29425 | 中危 |
| Expat 资源管理错误漏洞 | 数值计算不正确 | MPS-2022-0004 | CVE-2021-45960 | 高危 |
| Fastjson | 反序列化 | MPS-2022-11320 | CVE-2022-25845 | 高危 |
| Apache HttpClient URI解析错误漏洞 | 相对路径遍历 | MPS-2022-12292 | 中危 | |
| libpng 代码问题漏洞 | 空指针取消引用 | MPS-2022-63559 | CVE-2022-3857 | 中危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| com.alibaba:fastjson | 1.2.6 | 1.2.83 | 直接依赖 | 强烈建议修复 |
| commons-beanutils:commons-beanutils | 1.9.0 | 1.9.4 | 直接依赖 | 强烈建议修复 |
| libexpat | 2.1.0 | 间接依赖 | 建议修复 | |
| libpng | 1.6.10 | 1.6.39 | 间接依赖 | 建议修复 |
| org.dom4j:dom4j | 2.0.0 | 2.1.2 | 直接依赖 | 建议修复 |
| libiberty | 9.1.0 | 20220713-1 | 间接依赖 | 建议修复 |
| commons-io:commons-io | 2.4 | 2.7 | 直接依赖 | 可选修复 |
| org.apache.httpcomponents:httpclient | 4.4 | 4.5.13 | 直接依赖 | 可选修复 |
| org.apache.commons:commons-compress | 1.4.1 | 1.24.0 | 直接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| BSL-1.0 | 1 | 低 |
| 自定义许可证 | 3 | 低 |
| BSD-3-Clause | 3 | 低 |
| Apache-2.0 | 18 | 低 |
| Zlib | 1 | 低 |
| LGPL-2.1 | 3 | 中 |
| MPL-1.1 | 1 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| poco | 间接依赖 | ||
| libdl.so.2 | 间接依赖 | ||
| com.android.support:appcompat-v7 | 25.3.0 | 直接依赖 | maven |
| libpthread.so.0 | 间接依赖 | ||
| org.dom4j:dom4j | 2.0.0 | 直接依赖 | maven |
| liblog.so | 间接依赖 | ||
| org.smali:smali | 2.2.2 | 直接依赖 | maven |
| com.alibaba:fastjson | 1.1.46.android | 直接依赖 | maven |
| commons-beanutils:commons-beanutils | 1.9.0 | 直接依赖 | maven |
| io.reactivex.rxjava2:rxjava | 2.0.1 | 直接依赖 | maven |
| com.android.support:appcompat-v7 | 25.1.0 | 直接依赖 | maven |
| zlib | 间接依赖 | ||
| libiberty | 间接依赖 | ||
| commons-lang:commons-lang | 2.6 | 直接依赖 | maven |
| org.apache.commons:commons-lang3 | 3.4 | 直接依赖 | maven |
| /usr/lib/libz.1.dylib | 间接依赖 | ||
| com.taobao.android:dex_patch | 3.0.0-rc16 | 直接依赖 | maven |
| libc.so | 间接依赖 | ||
| com.taobao.android:aapt | 2.3.1.rc4 | 直接依赖 | maven |
| com.alibaba:fastjson | 1.2.6 | 直接依赖 | maven |
| org.apache.commons:commons-compress | 1.4.1 | 直接依赖 | maven |
| /usr/lib/libSystem.B.dylib | 间接依赖 | ||
| /usr/lib/libstdc++.6.dylib | 间接依赖 | ||
| libpng | 1.6.10 | 间接依赖 | |
| org.javassist:javassist | 3.19.0-GA | 直接依赖 | maven |
| com.android.support:design | 25.3.0 | 直接依赖 | maven |
| com.android.support:support-vector-drawable | 25.1.0 | 直接依赖 | maven |
| android-ndk | r23b | 间接依赖 | |
| jaxen:jaxen | 1.1.6 | 直接依赖 | maven |
| commons-io:commons-io | 2.4 | 直接依赖 | maven |
| org.codehaus.plexus:plexus-utils | 3.0.24 | 直接依赖 | maven |
| com.android.support:recyclerview-v7 | 25.3.0 | 直接依赖 | maven |
| com.taobao.android:preverify | 1.0.0 | 直接依赖 | maven |
| com.android.tools.build:gradle | 3.0.1 | 直接依赖 | maven |
| com.android.support:support-v4 | 25.1.0 | 直接依赖 | maven |
| org.apache.httpcomponents:httpclient | 4.4 | 直接依赖 | maven |
| libbz2.so.1 | 间接依赖 | ||
| android-ndk | 间接依赖 | ||
| libz.so.1 | 间接依赖 | ||
| org.antlr:antlr-runtime | 3.5.2 | 直接依赖 | maven |
| com.android.tools:common | 26.0.1 | 直接依赖 | maven |
| libdl.so | 间接依赖 | ||
| librt.so.1 | 间接依赖 | ||
| libstdc++.so | 间接依赖 | ||
| com.android.support:design | 25.1.0 | 直接依赖 | maven |
| libexpat | 2.1.0 | 间接依赖 | |
| libm.so.6 | 间接依赖 | ||
| libm.so | 间接依赖 | ||
| libstdc++.so.6 | 间接依赖 | ||
| com.android.support:appcompat-v7 | 25.2.0 | 直接依赖 | maven |
| KERNEL32.dll | 间接依赖 | ||
| libiberty | 9.1.0 | 间接依赖 | |
| com.google.inject:guice | 4.0 | 直接依赖 | maven |
| msvcrt.dll | 间接依赖 | ||
| /usr/lib/libbz2.1.0.dylib | 间接依赖 | ||
| org.jetbrains.kotlin:kotlin-gradle-plugin | 1.2.41 | 直接依赖 | maven |
| com.android.support.constraint:constraint-layout | 1.0.2 | 直接依赖 | maven |
| glog | 间接依赖 | ||
| com.google.auto.value:auto-value | 1.0 | 直接依赖 | maven |
| org.smali:baksmali | 2.2.2 | 直接依赖 | maven |
| com.taobao.android:atlas_core | 5.1.0.9-rc2 | 直接依赖 | maven |
| libc.so.6 | 间接依赖 | ||
| libgcc_s.so.1 | 间接依赖 |