alibaba/otter 软件分析报告

基础信息

项目名称:alibaba/otter

项目徽章:

Security Status

仓库地址:https://github.com/pterodactyl/panel

检测报告地址:https://www.murphysec.com/console/report/1715693554910412800/1715693558366519296

此报告由Murphysec提供

漏洞列表

漏洞名称 漏洞类型 MPS编号 CVE编号 漏洞等级
Apache Commons FileUpload 权限绕过漏洞 权限、特权和访问控制 MPS-2013-1041 CVE-2013-0248 低危
Apache Commons FileUpload DiskFileItem 类任意文件写入漏洞 输入验证不恰当 MPS-2013-4267 CVE-2013-2186 高危
Spring Framework XML外部实体注入漏洞 权限、特权和访问控制 MPS-2014-0435 CVE-2013-4152 中危
Spring Framework 权限、特权和访问控制 MPS-2014-0439 CVE-2013-7315 中危
Spring Framework 外部实体注入漏洞 XXE MPS-2014-0481 CVE-2013-6429 中危
Spring Framework XSS MPS-2014-1382 CVE-2014-1904 中危
Apache Commons FileUpload 权限、特权和访问控制 MPS-2014-1540 CVE-2014-0050 高危
Spring Framework XML外部实体注入漏洞 CSRF MPS-2014-1941 CVE-2014-0054 中危
FitNesse Wiki 任意代码执行漏洞 代码注入 MPS-2014-1998 CVE-2014-1216 高危
Direct Web Remoting 信息泄露漏洞 未授权敏感信息泄露 MPS-2014-7183 CVE-2014-5325 中危
Direct Web Remoting 跨站脚本漏洞 XSS MPS-2014-7184 CVE-2014-5326 中危
Pivotal Software Spring Framework 目录遍历漏洞 路径遍历 MPS-2015-1090 CVE-2014-3578 中危
BeanShell 任意命令执行漏洞 数据处理错误 MPS-2016-1438 CVE-2016-2510 高危
Apache Commons FileUpload 访问控制错误漏洞 访问控制不当 MPS-2016-5301 CVE-2016-1000031 严重
Pivotal Software Spring Framework 路径遍历漏洞 路径遍历 MPS-2016-6414 CVE-2016-9878 高危
Pivotal Spring Framework 安全漏洞 XXE MPS-2017-5898 CVE-2014-0225 高危
Jetty 信息泄露漏洞 通过差异性导致的信息暴露 MPS-2017-6690 CVE-2017-9735 高危
H2数据库权限检验不当漏洞 在文件访问前对链接解析不恰当(链接跟随) MPS-2018-10344 CVE-2018-14335 中危
Oracle MySQL Connectors 访问控制错误漏洞 使用候选路径或通道进行的认证绕过 MPS-2018-13771 CVE-2018-3258 高危
Pivotal Spring Framework 路径遍历漏洞 路径遍历 MPS-2018-4351 CVE-2018-1271 中危
Google Guava 不可信数据的反序列化漏洞 不加限制或调节的资源分配 MPS-2018-5515 CVE-2018-10237 中危
Eclipse Jetty HTTP请求走私 MPS-2018-8347 CVE-2017-7657 严重
Eclipse Jetty HTTP请求走私 MPS-2018-8415 CVE-2017-7658 严重
Netty 存在 HTTP 请求走私漏洞 HTTP请求走私 MPS-2019-12064 CVE-2019-16869 高危
SnakeYAML 拒绝服务 MPS-2019-16129 CVE-2017-18640 高危
Eclipse Jetty 信息泄露漏洞 未授权敏感信息泄露 MPS-2019-4270 CVE-2019-10247 中危
Oracle MySQL Connectors 输入验证错误漏洞 使用不兼容类型访问资源(类型混淆) MPS-2019-4430 CVE-2019-2692 中危
Spring Framework 反序列化 MPS-2020-0057 CVE-2016-1000027 严重
Spring Framework javaScriptEscape 方法存在跨站脚本漏洞 XSS MPS-2020-0407 CVE-2013-6430 中危
Netty HTTP请求走私 MPS-2020-1320 CVE-2020-7238 高危
MyBatis 反序列化 MPS-2020-14133 CVE-2020-26945 高危
Netty HTTP请求走私 MPS-2020-1526 CVE-2019-20444 严重
Netty HTTP请求走私 MPS-2020-1527 CVE-2019-20445 严重
Eclipse Jetty 权限提升漏洞 权限、特权和访问控制 MPS-2020-15633 CVE-2020-27216 高危
Apache HttpClient URI解析错误漏洞 XSS MPS-2020-17341 CVE-2020-13956 中危
Google Guava 访问控制错误漏洞 关键资源权限分配不当 MPS-2020-17429 CVE-2020-8908 低危
mysql:mysql-connector-java XXE MPS-2020-38350 CVE-2021-2471 中危
dom4j SaxReader函数存在 XXE 漏洞 XXE MPS-2020-6967 CVE-2020-10683 严重
Spring Framework 日志输出的转义处理不恰当 MPS-2021-18854 CVE-2021-22060 中危
Pivotal Spring Framework 日志注入漏洞 日志输出的转义处理不恰当 MPS-2021-18890 CVE-2021-22096 中危
Apache Velocity 存在任意代码执行 代码注入 MPS-2021-3061 CVE-2020-13936 高危
Apache DB DdlUtils 代码问题漏洞 反序列化 MPS-2021-32418 CVE-2021-41616 严重
H2数据库存在JNDI注入漏洞 反序列化 MPS-2021-33243 CVE-2021-42392 严重
Oracle MySQL 的 MySQL Connectors 存在授权不当漏洞 授权机制不恰当 MPS-2021-36587 CVE-2022-21363 中危
Eclipse Jetty 资源管理错误漏洞 对异常条件的处理不恰当 MPS-2021-3864 CVE-2021-28165 高危
Apache Dubbo 泛化调用远程代码执行漏洞 反序列化 MPS-2021-7664 CVE-2021-30179 严重
Eclipse Jetty 存在信息泄露漏洞 不充分的会话过期机制 MPS-2021-8884 CVE-2021-34428 低危
Vmware Spring Framework 安全漏洞 不加限制或调节的资源分配 MPS-2022-1080 CVE-2022-22950 中危
Pivotal Spring Framework 安全限制绕过漏洞 大小写敏感处理不恰当 MPS-2022-1098 CVE-2022-22968 中危
Spring Framework spring-beans 存在拒绝服务漏洞 不加限制或调节的资源分配 MPS-2022-1101 CVE-2022-22970 中危
Fastjson 反序列化 MPS-2022-11320 CVE-2022-25845 高危
org.testng:testng 存在不安全的依赖解析漏洞 从非可信控制范围包含功能例程 MPS-2022-11842 中危
com.beust:jcommander 存在从非可信控制范围包含功能例程漏洞 从非可信控制范围包含功能例程 MPS-2022-12225 中危
Apache HttpClient URI解析错误漏洞 相对路径遍历 MPS-2022-12292 中危
H2 Console 代码注入漏洞 代码注入 MPS-2022-1435 CVE-2022-23221 严重
commons-fileupload:commons-fileupload 存在信息暴露漏洞 未授权敏感信息泄露 MPS-2022-16625 中危
Eclipse Jetty URI注入漏洞 注入 MPS-2022-18060 CVE-2022-2047 低危
snakeYAML 拒绝服务 MPS-2022-5144 CVE-2022-25857 高危
snakeYAML 栈缓冲区溢出 MPS-2022-56040 CVE-2022-38751 中危
snakeYAML 栈缓冲区溢出 MPS-2022-56041 CVE-2022-38752 低危
snakeYAML 栈缓冲区溢出 MPS-2022-56051 CVE-2022-38750 中危
snakeYAML 拒绝服务 MPS-2022-56081 CVE-2022-38749 中危
protobuf-java 存在输入验证不当漏洞 拒绝服务 MPS-2022-56472 CVE-2022-3171 中危
SnakeYAML 栈缓冲区溢出 MPS-2022-58478 CVE-2022-41854 中危
IBM WebSphere Application Server Liberty 存在拒绝服务漏洞 对因果或异常条件的不恰当检查 MPS-2022-59813 CVE-2022-3509 中危
Google protobuf 安全漏洞 拒绝服务 MPS-2022-59814 CVE-2022-3510 高危
Spring Expression 存在拒绝服务漏洞 拒绝服务 MPS-2022-62835 CVE-2023-20863 高危
TestNG 路径遍历 MPS-2022-64736 CVE-2022-4065 高危
spring-beans 远程代码执行漏洞(Spring4Shell) 表达式语言注入 MPS-2022-6820 CVE-2022-22965 严重
snakeYAML 反序列化 MPS-2022-9425 CVE-2022-1471 高危
Apache Commons FileUpload 不加限制或调节的资源分配 MPS-2023-3553 CVE-2023-24998 中危
Eclipse Jetty 资源管理错误漏洞 拒绝服务 MPS-2023-4997 CVE-2023-26048 中危
Eclipse Jetty 信息泄露漏洞 XSS MPS-2023-4998 CVE-2023-26049 中危
ZooKeeper SASL 身份验证绕过漏洞 通过用户控制密钥绕过授权机制 MPS-bznr-672x CVE-2023-44981 高危
Guava 创建拥有不安全权限的临时文件 MPS-mfku-xzh3 CVE-2023-2976 中危

缺陷组件

组件名称 版本 最小修复版本 依赖关系 修复建议
commons-fileupload:commons-fileupload 1.2.2 1.5 间接依赖 强烈建议修复
org.fitnesse:fitnesse 20100211 20140201 直接依赖 强烈建议修复
mysql:mysql-connector-java 5.1.47 8.0.28 直接依赖 建议修复
org.jboss.netty:netty 3.2.5.Final 间接依赖 建议修复
org.eclipse.jetty:jetty-util 8.1.7.v20120910 9.4.17.v20190418 间接依赖 建议修复
com.alibaba:fastjson 1.2.70 1.2.83 直接依赖 建议修复
org.springframework:spring-context 3.1.2.RELEASE 5.3.19 直接依赖 建议修复
org.eclipse.jetty:jetty-io 8.1.7.v20120910 11.0.10 间接依赖 建议修复
org.apache.zookeeper:zookeeper 3.4.14 3.9.1 直接依赖 建议修复
org.springframework:spring-web 3.1.2.RELEASE 6.0.0 直接依赖 建议修复
org.yaml:snakeyaml 1.6 2.0 间接依赖 建议修复
org.eclipse.jetty:jetty-server 8.1.7.v20120910 12.0.0.beta0 直接依赖 建议修复
com.h2database:h2 1.4.196 2.1.210 间接依赖 建议修复
org.mybatis:mybatis 3.5.4 3.5.6 间接依赖 建议修复
org.springframework:spring-webmvc 3.1.2.RELEASE 6.0.7 直接依赖 建议修复
org.apache.velocity:velocity 1.7 间接依赖 建议修复
io.netty:netty-all 4.1.6.Final 4.1.44.Final 间接依赖 建议修复
org.eclipse.jetty:jetty-http 8.1.7.v20120910 12.0.1 直接依赖 建议修复
com.google.guava:guava 18.0 32.0.0-jre 直接依赖 建议修复
org.beanshell:bsh 2.0b4 间接依赖 建议修复
dom4j:dom4j 1.6.1 间接依赖 建议修复
org.apache.ddlutils:ddlutils 1.0 直接依赖 建议修复
org.eclipse.jetty:jetty-webapp 8.1.7.v20120910 11.0.6 直接依赖 建议修复
com.alibaba:dubbo 2.6.9 2.6.10 直接依赖 建议修复
org.springframework:spring-beans 3.1.2.RELEASE 5.3.20 直接依赖 建议修复
io.netty:netty 3.10.6.Final 间接依赖 建议修复
org.testng:testng 6.1.1 7.7.0 直接依赖 可选修复
org.springframework:spring-expression 3.1.2.RELEASE 6.0.8 间接依赖 可选修复
org.springframework:spring-core 3.1.2.RELEASE 6.0.7 直接依赖 可选修复
com.beust:jcommander 1.12 1.75 间接依赖 可选修复
org.directwebremoting:dwr 2.0.10 3.0.rc3 直接依赖 可选修复
com.google.protobuf:protobuf-java 3.16.1 3.21.7 直接依赖 可选修复
org.apache.httpcomponents:httpclient 4.5.1 4.5.13 间接依赖 可选修复

许可证风险

许可证类型 相关组件 许可证风险
Apache-2.0 93
自定义许可证 12
MIT 3
LGPL-2.1 2
MPL-1.1 2
EPL-1.0 2
BSD-3-Clause 1

SBOM清单

组件名称 组件版本 是否直接依赖 仓库
KERNEL32.dll 间接依赖
io.netty:netty-all 4.1.6.Final 间接依赖 maven
com.alibaba:fastjson 1.2.70 直接依赖 maven
org.apache.commons:commons-compress 1.21 直接依赖 maven
com.alibaba.fastsql:fastsql 2.0.0_preview_973 直接依赖 maven
org.eclipse.jetty:jetty-xml 8.1.7.v20120910 直接依赖 maven
org.jboss.netty:netty 3.2.5.Final 间接依赖 maven
dom4j:dom4j 1.6.1 间接依赖 maven
org.springframework:spring-webmvc 3.1.2.RELEASE 直接依赖 maven
junit:junit 3.8.1 间接依赖 maven
cglib:cglib-nodep 2.1_3 直接依赖 maven
org.directwebremoting:dwr 2.0.10 直接依赖 maven
com.alibaba.otter:shared.communication 4.2.19-SNAPSHOT 直接依赖 maven
commons-fileupload:commons-fileupload 1.2.2 间接依赖 maven
com.alibaba.otter:canal.common 1.1.5 间接依赖 maven
commons-pool:commons-pool 1.3 间接依赖 maven
com.alibaba.otter:shared.push 4.2.19-SNAPSHOT 直接依赖 maven
com.oracle:ojdbc6 11.1.0.7.0 直接依赖 maven
ecs:ecs 1.4.2 间接依赖 maven
org.mybatis:mybatis 3.5.4 间接依赖 maven
org.eclipse.jetty:jetty-server 8.1.7.v20120910 直接依赖 maven
org.springframework:spring-orm 3.1.2.RELEASE 直接依赖 maven
javax.annotation:javax.annotation-api 1.3.2 间接依赖 maven
com.lmax:disruptor 3.4.2 间接依赖 maven
com.alibaba:dubbo 2.6.9 直接依赖 maven
joda-time:joda-time 2.9.4 间接依赖 maven
org.springframework:spring-orm 5.0.5.RELEASE 间接依赖 maven
com.alibaba.otter:shared.common 4.2.19-SNAPSHOT 直接依赖 maven
com.alibaba.otter:canal.protocol 1.1.5 间接依赖 maven
com.alibaba.otter:canal.parse 1.1.5 直接依赖 maven
commons-io:commons-io 2.7 直接依赖 maven
com.alibaba.citrus:citrus-webx-all 3.2.0 直接依赖 maven
org.slf4j:jcl-over-slf4j 1.7.12 直接依赖 maven
commons-logging:commons-logging 1.2 间接依赖 maven
com.alibaba:druid 1.2.6 直接依赖 maven
com.alibaba.otter:canal.instance.core 1.1.5 间接依赖 maven
com.101tec:zkclient 0.10 直接依赖 maven
com.alibaba.otter:canal.parse.driver 1.1.5 间接依赖 maven
org.testng:testng 6.1.1 直接依赖 maven
oro:oro 2.0.8 直接依赖 maven
org.apache.commons:commons-jexl 2.1.1 间接依赖 maven
org.fitnesse:fitnesse 20100211 直接依赖 maven
org.apache.ddlutils:ddlutils 1.0 直接依赖 maven
org.eclipse.jetty:jetty-servlet 8.1.7.v20120910 直接依赖 maven
com.alibaba.otter:canal.instance.manager 1.1.5 直接依赖 maven
org.eclipse.jetty.orbit:javax.servlet 3.0.0.v201112011016 间接依赖 maven
com.h2database:h2 1.4.196 间接依赖 maven
org.apache.velocity:velocity 1.7 间接依赖 maven
commons-logging:commons-logging 1.1.1 间接依赖 maven
de.schlichtherle:truezip 6.8.4 直接依赖 maven
org.springframework:spring-beans 3.1.2.RELEASE 直接依赖 maven
com.alibaba.otter:canal.sink 1.1.5 间接依赖 maven
cglib:cglib-nodep 2.2 直接依赖 maven
org.apache.httpcomponents:httpclient 4.5.1 间接依赖 maven
org.eclipse.jetty:jetty-http 8.1.7.v20120910 直接依赖 maven
org.eclipse.jetty:jetty-io 8.1.7.v20120910 间接依赖 maven
ognl:ognl 2.7.2 直接依赖 maven
com.alibaba.otter:canal.instance.spring 1.1.5 间接依赖 maven
org.springframework:spring-web 3.1.2.RELEASE 直接依赖 maven
org.springframework:spring-asm 3.1.2.RELEASE 间接依赖 maven
org.apache.httpcomponents:httpcore 4.4.3 间接依赖 maven
mysql:mysql-connector-java 5.1.47 直接依赖 maven
org.javassist:javassist 3.20.0-GA 间接依赖 maven
org.mybatis:mybatis-spring 2.0.4 间接依赖 maven
ch.qos.logback:logback-core 1.2.9 直接依赖 maven
org.eclipse.jetty:jetty-util 8.1.7.v20120910 间接依赖 maven
org.yaml:snakeyaml 1.6 间接依赖 maven
commons-pool:commons-pool 1.5.4 直接依赖 maven
org.apache.yetus:audience-annotations 0.5.0 间接依赖 maven
com.beust:jcommander 1.12 间接依赖 maven
com.alibaba.otter:connector.core 1.1.5 间接依赖 maven
com.alibaba.otter:node.common 4.2.19-SNAPSHOT 直接依赖 maven
org.eclipse.jetty:jetty-webapp 8.1.7.v20120910 直接依赖 maven
com.alibaba.otter:node.canal 4.2.19-SNAPSHOT 直接依赖 maven
com.alibaba.otter:canal.server 1.1.5 直接依赖 maven
commons-dbcp:commons-dbcp 1.4 直接依赖 maven
com.alibaba.otter:shared.etl 4.2.19-SNAPSHOT 直接依赖 maven
org.eclipse.jetty:jetty-continuation 8.1.7.v20120910 间接依赖 maven
com.alibaba.otter:canal.parse.dbsync 1.1.5 间接依赖 maven
org.apache.zookeeper:zookeeper 3.4.14 直接依赖 maven
commons-lang:commons-lang 2.6 直接依赖 maven
org.slf4j:slf4j-api 1.7.12 直接依赖 maven
org.apache.commons:commons-lang3 3.7 间接依赖 maven
com.googlecode.aviator:aviator 2.2.1 间接依赖 maven
org.apache.ibatis:ibatis-sqlmap 2.3.4.726 直接依赖 maven
org.springframework:spring-expression 3.1.2.RELEASE 间接依赖 maven
org.springframework:spring-tx 3.1.2.RELEASE 直接依赖 maven
com.alibaba.otter:node.extend 4.2.19-SNAPSHOT 直接依赖 maven
org.springframework:spring-aop 3.1.2.RELEASE 直接依赖 maven
javax.activation:activation 1.1 间接依赖 maven
com.google.code.findbugs:jsr305 3.0.2 直接依赖 maven
org.springframework:spring-test 3.1.2.RELEASE 直接依赖 maven
org.springframework:spring-context 3.1.2.RELEASE 直接依赖 maven
commons-beanutils:commons-beanutils 1.9.4 直接依赖 maven
javax.mail:mail 1.4.7 直接依赖 maven
jboss:javassist 3.6.ga 间接依赖 maven
com.alibaba.otter:node.etl 4.2.19-SNAPSHOT 直接依赖 maven
org.springframework:spring-jdbc 3.1.2.RELEASE 直接依赖 maven
com.alibaba.otter:shared.arbitrate 4.2.19-SNAPSHOT 直接依赖 maven
com.google.protobuf:protobuf-java 3.16.1 直接依赖 maven
commons-dbcp:commons-dbcp 1.2.2 直接依赖 maven
msvcrt.dll 间接依赖
com.intellij:annotations 9.0.4 间接依赖 maven
com.alibaba.otter:canal.store 1.1.5 间接依赖 maven
org.springframework:spring-context-support 3.1.2.RELEASE 直接依赖 maven
mockit:jmockit 0.999.10 直接依赖 maven
commons-codec:commons-codec 1.15 直接依赖 maven
com.alibaba.otter:manager.biz 4.2.19-SNAPSHOT 直接依赖 maven
org.eclipse.jetty:jetty-security 8.1.7.v20120910 间接依赖 maven
com.alibaba.otter:manager.web 4.2.19-SNAPSHOT 直接依赖 maven
org.springframework:spring-core 3.1.2.RELEASE 直接依赖 maven
aopalliance:aopalliance 1.0 间接依赖 maven
com.alibaba.otter:canal.filter 1.1.5 间接依赖 maven
commons-collections:commons-collections 3.2.2 直接依赖 maven
com.github.spotbugs:spotbugs-annotations 3.1.9 间接依赖 maven
ch.qos.logback:logback-classic 1.2.9 直接依赖 maven
org.beanshell:bsh 2.0b4 间接依赖 maven
com.alibaba.otter:canal.meta 1.1.5 间接依赖 maven
io.netty:netty 3.10.6.Final 间接依赖 maven
com.google.guava:guava 18.0 直接依赖 maven
(0)
上一篇 2023年10月23日
下一篇 2023年10月23日

相关推荐

  • robotframework/robotframework 软件分析报告

    基础信息 项目名称:robotframework/robotframework 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1749306017133510656/1749306048121028608 此报告由…

    软件分析 2024年1月22日
    0
  • Cynaith/LightRedis 软件分析报告

    基础信息 项目名称:Cynaith/LightRedis 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721119359388090368/1727783386569203712 此报告由Murphysec提供…

    软件分析 2023年11月24日
    0
  • jhipster/ng-jhipster 软件分析报告

    基础信息 项目名称:jhipster/ng-jhipster 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1721307834707640320/1729751528180240384 此报告由Murphysec…

    软件分析 2023年11月29日
    0
  • JasonBoy/koa-web-kit 软件分析报告

    基础信息 项目名称:JasonBoy/koa-web-kit 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1718986931642875904/1718986931722567680 此报告由Murphysec…

    软件分析 2023年10月30日
    0
  • baichengzhou/SpringMVC-Mybatis-shiro 软件分析报告

    基础信息 项目名称:baichengzhou/SpringMVC-Mybatis-shiro 项目徽章: 仓库地址:https://github.com/pterodactyl/panel 检测报告地址:https://www.murphysec.com/console/report/1716212185940230144/17162121891698442…

    软件分析 2023年10月23日
    0