apigee/trireme 软件分析报告

2023年10月23日下午6:25 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：apigee/trireme

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1715963290017644544/1715963290067976192

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
Apache Commons HttpClient Amazon FPS 输入验证错误漏洞	证书验证不恰当	MPS-2012-4618	CVE-2012-5783	中危
Apache HttpClient 中间人攻击漏洞	输入验证不恰当	MPS-2014-4288	CVE-2012-6153	中危
多款Cisco产品Apache Commons Collections库任意代码执行漏洞	反序列化	MPS-2015-6277	CVE-2015-6420	高危
多款Red Hat产品代码问题漏洞	反序列化	MPS-2017-12638	CVE-2015-7501	严重
plexus-utils	OS命令注入	MPS-2018-0091	CVE-2017-1000487	严重
Apache Commons Beanutils 存在不可信数据的反序列化漏洞	反序列化	MPS-2019-10233	CVE-2019-10086	高危
Red Hat JBoss Enterprise Application Platform 代码问题漏洞	反序列化	MPS-2019-12470	CVE-2019-10202	严重
jackson-mapper-asl	XXE	MPS-2019-15048	CVE-2019-10172	高危
Apache Commons Net	未授权敏感信息泄露	MPS-2021-28440	CVE-2021-37533	中危
Apache Ant 拒绝服务漏洞	长度参数不一致性处理不恰当	MPS-2021-9827	CVE-2021-36373	中危
Apache Ant 拒绝服务漏洞	长度参数不一致性处理不恰当	MPS-2021-9847	CVE-2021-36374	中危
plexus-utils	路径遍历	MPS-2022-11760		中危
plexus-utils	XPath盲注	MPS-2022-11786		低危
commons-codec:commons-codec 存在信息泄露漏洞	未授权敏感信息泄露	MPS-2022-11853		低危
io.netty:netty-handler 存在证书验证不恰当漏洞	证书验证不恰当	MPS-2022-12067		中危
Apache Commons Collections 远程代码执行漏洞	反序列化	MPS-2022-12767		高危
Netty 存在信息泄露漏洞	将资源暴露给错误范围	MPS-2022-3790	CVE-2022-24823	中危
Jettison	拒绝服务	MPS-2022-57067	CVE-2022-40150	高危
Jettison	越界写入	MPS-2022-57068	CVE-2022-40149	高危
Netty	解释冲突	MPS-2022-58552	CVE-2022-41915	中危
Jettison	越界写入	MPS-2022-64973	CVE-2022-45685	高危
codehaus-plexus XXE注入漏洞	XPath盲注	MPS-2022-66466	CVE-2022-4245	中危
Jettison 安全漏洞	未经控制的递归	MPS-2023-8270	CVE-2023-1436	高危
Netty 资源管理错误漏洞	拒绝服务	MPS-9u07-bna1	CVE-2023-34462	中危
Hot Rod 安全漏洞	证书验证不恰当	MPS-b7oj-adm3	CVE-2023-4586	高危
Bouncy Castle 信任管理问题漏洞	证书验证不恰当	MPS-i6w7-d48e	CVE-2023-33201	中危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
io.netty:netty-handler	4.1.72.Final	4.1.94.final	直接依赖	建议修复
commons-collections:commons-collections	3.2.1	3.2.2	间接依赖	建议修复
commons-beanutils:commons-beanutils	1.7.0	1.9.4	间接依赖	建议修复
org.codehaus.plexus:plexus-utils	3.0.10	3.0.24	直接依赖	建议修复
org.codehaus.jackson:jackson-mapper-asl	1.8.8		间接依赖	建议修复
org.codehaus.jettison:jettison	1.1	1.5.4	间接依赖	建议修复
commons-httpclient:commons-httpclient	3.0.1	3.1-jenkins-2	间接依赖	可选修复
commons-codec:commons-codec	1.4	1.13	间接依赖	可选修复
ant:ant	1.6.5	1.10.11	间接依赖	可选修复
io.netty:netty-codec-http	4.1.72.Final	4.1.86.final	直接依赖	可选修复
io.netty:netty-common	4.1.72.Final	4.1.77.Final	直接依赖	可选修复
org.bouncycastle:bcprov-jdk15on	1.70		直接依赖	可选修复
commons-net:commons-net	1.4.1	3.9.0	间接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
CDDL-1.1	5	低
Apache-2.0	45	低
自定义许可证	7	低
MIT	19	低
EPL-1.0	2	低
CDDL-1.0	3	低
MPL-2.0	1	低
LGPL-2.1	2	中

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
com.sun.jersey:jersey-core	1.8	间接依赖	maven
commons-cli:commons-cli	1.2	间接依赖	maven
hsqldb:hsqldb	1.8.0.10	间接依赖	maven
io.apigee.trireme:trireme-jar	0.9.1	直接依赖	maven
io.netty:netty-codec-http	4.1.72.Final	直接依赖	maven
org.codehaus.plexus:plexus-classworlds	2.4	间接依赖	maven
io.apigee.trireme:trireme-util	0.9.5-SNAPSHOT	直接依赖	maven
io.netty:netty-resolver	4.1.72.Final	间接依赖	maven
org.sonatype.sisu:sisu-inject-bean	2.1.1	间接依赖	maven
io.netty:netty-handler	4.1.72.Final	直接依赖	maven
:No dependencies		直接依赖	maven
javax.servlet:servlet-api	2.5	直接依赖	maven
org.eclipse.jdt:core	3.1.1	间接依赖	maven
io.apigee.trireme:trireme-kernel	0.9.1	间接依赖	maven
org.sonatype.sisu:sisu-guice	2.9.4	间接依赖	maven
commons-beanutils:commons-beanutils	1.7.0	间接依赖	maven
org.slf4j:slf4j-api	1.7.32	直接依赖	maven
org.slf4j:slf4j-simple	1.7.32	直接依赖	maven
commons-codec:commons-codec	1.4	间接依赖	maven
org.codehaus.jettison:jettison	1.1	间接依赖	maven
io.apigee.trireme:trireme-servlet	0.9.5-SNAPSHOT	直接依赖	maven
io.apigee.trireme:trireme-net	0.9.5-SNAPSHOT	直接依赖	maven
com.sun.jersey:jersey-json	1.8	间接依赖	maven
ant:ant	1.6.5	间接依赖	maven
commons-el:commons-el	1.0	间接依赖	maven
xmlenc:xmlenc	0.52	间接依赖	maven
commons-lang:commons-lang	2.4	间接依赖	maven
org.mortbay.jetty:jetty-util	6.1.26	间接依赖	maven
org.mortbay.jetty:servlet-api-2.5	6.1.14	间接依赖	maven
commons-collections:commons-collections	3.2.1	间接依赖	maven
::node10:node10src		直接依赖	maven
org.codehaus.jackson:jackson-mapper-asl	1.8.8	间接依赖	maven
org.bouncycastle:bcprov-jdk15on	1.70	直接依赖	maven
org.codehaus.jackson:jackson-core-asl	1.7.1	间接依赖	maven
::kernel		直接依赖	maven
::util		直接依赖	maven
org.mortbay.jetty:servlet-api	2.5-20081211	间接依赖	maven
org.apache.commons:commons-math	2.1	间接依赖	maven
tomcat:jasper-compiler	5.5.12	间接依赖	maven
org.mozilla:rhino	1.7.13	直接依赖	maven
commons-beanutils:commons-beanutils-core	1.8.0	间接依赖	maven
::core		直接依赖	maven
org.apache.maven:maven-model	3.0.3	间接依赖	maven
::crypto		直接依赖	maven
commons-net:commons-net	1.4.1	间接依赖	maven
io.netty:netty-transport	4.1.72.Final	直接依赖	maven
commons-configuration:commons-configuration	1.6	间接依赖	maven
javax.xml.bind:jaxb-api	2.2.2	间接依赖	maven
io.apigee.trireme:trireme-crypto	0.9.5-SNAPSHOT	直接依赖	maven
io.apigee.trireme:trireme-node12src	0.9.5-SNAPSHOT	直接依赖	maven
io.apigee.trireme:trireme-node10src	0.9.5-SNAPSHOT	直接依赖	maven
org.apache.maven:maven-artifact	3.0.3	间接依赖	maven
org.codehaus.jackson:jackson-xc	1.7.1	间接依赖	maven
org.bouncycastle:bcpkix-jdk15on	1.70	直接依赖	maven
org.codehaus.plexus:plexus-utils	3.0.10	直接依赖	maven
io.apigee.trireme:trireme-util	0.9.1	间接依赖	maven
io.netty:netty-buffer	4.1.72.Final	直接依赖	maven
io.apigee.trireme:trireme-shell	0.9.5-SNAPSHOT	直接依赖	maven
org.mortbay.jetty:jsp-2.1	6.1.14	间接依赖	maven
io.apigee.trireme:trireme-core	0.9.1	间接依赖	maven
io.apigee.trireme:trireme-node10src	0.9.1	间接依赖	maven
io.apigee.trireme:trireme-kernel	0.9.5-SNAPSHOT	直接依赖	maven
org.sonatype.sisu:sisu-inject-plexus	2.1.1	间接依赖	maven
io.apigee.trireme:trireme-crypto	0.9.1	间接依赖	maven
commons-logging:commons-logging	1.0.3	间接依赖	maven
org.mortbay.jetty:jetty	6.1.26	间接依赖	maven
javax.activation:activation	1.1	间接依赖	maven
com.sun.xml.bind:jaxb-impl	2.2.3-1	间接依赖	maven
org.apache.maven:maven-plugin-api	3.0.3	直接依赖	maven
commons-httpclient:commons-httpclient	3.0.1	间接依赖	maven
commons-digester:commons-digester	1.8	间接依赖	maven
tomcat:jasper-runtime	5.5.12	间接依赖	maven
com.sun.jersey:jersey-server	1.8	间接依赖	maven
io.netty:netty-common	4.1.72.Final	直接依赖	maven
commons-io:commons-io	2.11.0	间接依赖	maven
javax.xml.stream:stax-api	1.0-2	间接依赖	maven
asm:asm	3.1	间接依赖	maven
io.netty:netty-tcnative-classes	2.0.46.Final	间接依赖	maven
io.netty:netty-codec	4.1.72.Final	间接依赖	maven
org.codehaus.jackson:jackson-jaxrs	1.7.1	间接依赖	maven
oro:oro	2.0.8	间接依赖	maven
net.java.dev.jets3t:jets3t	0.6.1	间接依赖	maven
org.mortbay.jetty:jsp-api-2.1	6.1.14	间接依赖	maven
org.apache.maven.plugin-tools:maven-plugin-annotations	3.2	直接依赖	maven
io.apigee.trireme:trireme-net	0.9.1	直接依赖	maven
org.bouncycastle:bcutil-jdk15on	1.70	直接依赖	maven
::node12:node12src		直接依赖	maven
io.apigee.trireme:trireme-core	0.9.5-SNAPSHOT	直接依赖	maven
org.apache.hadoop:hadoop-core	1.2.1	直接依赖	maven
org.codehaus.plexus:plexus-component-annotations	1.5.5	间接依赖	maven
io.apigee.trireme:trireme-shell	0.9.1	间接依赖	maven
stax:stax-api	1.0.1	间接依赖	maven

SBOM 开源软件漏洞

赞 (0)

apiiro/combobulator 软件分析报告

上一篇 2023年10月23日

APIs-guru/graphql-faker 软件分析报告

下一篇 2023年10月23日

node-red/node-red 软件分析报告

基础信息项目名称：node-red/node-red 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1757857122683068416/1757857126621519872 此报告由Murphysec提供 …

软件分析 2024年2月15日
00
devbean/QtCipherSqlitePlugin 软件分析报告

基础信息项目名称：devbean/QtCipherSqlitePlugin 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717127673414467584/1717127673456410624 此报告由M…

软件分析 2023年10月25日
00
HuangXiZhou/iMap 软件分析报告

基础信息项目名称：HuangXiZhou/iMap 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1718684407853531136/1718684407899668480 此报告由Murphysec提供漏…

软件分析 2023年10月30日
00
apache/mnemonic 软件分析报告

基础信息项目名称：apache/mnemonic 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1720632240485236736/1720632240619454464 此报告由Murphysec提供漏洞…

软件分析 2023年11月4日
00
623059008/yiRan 软件分析报告

基础信息项目名称：623059008/yiRan 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1720484107286646784/1720484107727048704 此报告由Murphysec提供漏洞…

软件分析 2023年11月4日
00