文件
org.apache.maven.plugins.assembly.archive.archiver.AssemblyProxyArchiver
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| 由于被调用方法的返回值,org.apache.maven.plugins.assembly.archive.archiver.AssemblyProxyArchiver.doAddFileSet(FileSet) 中可能的空指针取消引用 | 风格 | NP_NULL_ON_SOME_PATH_FROM_RETURN_VALUE | 739 | 中等的 |
| 由于被调用方法的返回值,org.apache.maven.plugins.assembly.archive.archiver.AssemblyProxyArchiver.doAddFileSet(FileSet) 中可能的空指针取消引用 | 风格 | NP_NULL_ON_SOME_PATH_FROM_RETURN_VALUE | 753 | 中等的 |
org.apache.maven.plugins.assembly.archive.archiver.PrefixedArchivedFileSet
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| 由于被调用方法的返回值,org.apache.maven.plugins.assembly.archive.archiver.PrefixedArchivedFileSet.getPrefix() 中可能的空指针取消引用 | 风格 | NP_NULL_ON_SOME_PATH_FROM_RETURN_VALUE | 106 | 中等的 |
org.apache.maven.plugins.assembly.archive.phase.AssemblyArchiverPhaseComparator
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| org.apache.maven.plugins.assembly.archive.phase.AssemblyArchiverPhaseComparator 实现 Comparator 但不可序列化 | BAD_PRACTICE | SE_COMPARATOR_SHOULD_BE_SERIALIZABLE | 27-47 | 中等的 |
org.apache.maven.plugins.assembly.archive.phase.RepositoryAssemblyPhase
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| java.io.File.mkdirs() 的异常返回值在 org.apache.maven.plugins.assembly.archive.phase.RepositoryAssemblyPhase.execute(Assembly, Archiver, AssemblerConfigurationSource) 中被忽略 | BAD_PRACTICE | RV_RETURN_VALUE_IGNORED_BAD_PRACTICE | 92 | 中等的 |
org.apache.maven.plugins.assembly.archive.task.AddArtifactTask
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| org.apache.maven.plugins.assembly.archive.task.AddArtifactTask.DEFAULT_INCLUDES_ARRAY 应该受到包保护 | 恶意代码 | MS_PKGPROTECT | 49 | 中等的 |
org.apache.maven.plugins.assembly.filter.MetaInfServicesHandler
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| 由于调用方法的返回值,org.apache.maven.plugins.assembly.filter.MetaInfServicesHandler.getOutputPathPrefix(FileInfo) 中可能的空指针取消引用 | 风格 | NP_NULL_ON_SOME_PATH_FROM_RETURN_VALUE | 40 | 中等的 |
org.apache.maven.plugins.assembly.filter.SimpleAggregatingDescriptorHandler
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| 在 org.apache.maven.plugins.assembly.filter.SimpleAggregatingDescriptorHandler.getWriter(File) 中发现对默认编码的依赖: new java.io.OutputStreamWriter(OutputStream) | I18N | DM_DEFAULT_ENCODING | 138 | 高的 |
| 在 org.apache.maven.plugins.assembly.filter.SimpleAggregatingDescriptorHandler.readProperties(FileInfo) 中发现对默认编码的依赖:new java.io.InputStreamReader(InputStream) | I18N | DM_DEFAULT_ENCODING | 196 | 高的 |
| 未读字段:org.apache.maven.plugins.assembly.filter.SimpleAggregatingDescriptorHandler.commentChars;这个字段应该是静态的吗? | 表现 | SS_SHOULD_BE_STATIC | 59 | 中等的 |
org.apache.maven.plugins.assembly.format.ReaderFormatter class="topBarDisabled"
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| 在 org.apache.maven.plugins.assembly.format.ReaderFormatter class="topBarDisabled".transform(PlexusIoResource, InputStream) 中发现对默认编码的依赖:new java.io.InputStreamReader(InputStream) | I18N | DM_DEFAULT_ENCODING | 154 | 高的 |
org.apache.maven.plugins.assembly.io.DefaultAssemblyReader
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| 在 org.apache.maven.plugins.assembly.io.DefaultAssemblyReader.mergeComponentsWithMainAssembly(Assembly, File, AssemblerConfigurationSource, ComponentXpp3Reader$ContentTransformer) 中发现对默认编码的依赖:new java.io.InputStreamReader(InputStream) | I18N | DM_DEFAULT_ENCODING | 417 | 高的 |
org.apache.maven.plugins.assembly.model.io.xpp3.AssemblyXpp3Reader
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| 装箱/拆箱以解析原始 org.apache.maven.plugins.assembly.model.io.xpp3.AssemblyXpp3Reader.getIntegerValue(String, String, XmlPullParser, boolean) | 表现 | DM_BOXED_PRIMITIVE_FOR_PARSING | 400 | 高的 |
| 装箱/拆箱以解析原始 org.apache.maven.plugins.assembly.model.io.xpp3.AssemblyXpp3Reader.getLongValue(String, String, XmlPullParser, boolean) | 表现 | DM_BOXED_PRIMITIVE_FOR_PARSING | 430 | 高的 |
| 从未调用私有方法 org.apache.maven.plugins.assembly.model.io.xpp3.AssemblyXpp3Reader.getBooleanValue(String, String, XmlPullParser) | 表现 | UPM_UNCALLED_PRIVATE_METHOD | 185 | 中等的 |
| 从未调用私有方法 org.apache.maven.plugins.assembly.model.io.xpp3.AssemblyXpp3Reader.getDateValue(String, String, XmlPullParser) | 表现 | UPM_UNCALLED_PRIVATE_METHOD | 273 | 中等的 |
org.apache.maven.plugins.assembly.model.io.xpp3.ComponentXpp3Reader
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| 装箱/拆箱以解析原始 org.apache.maven.plugins.assembly.model.io.xpp3.ComponentXpp3Reader.getIntegerValue(String, String, XmlPullParser, boolean) | 表现 | DM_BOXED_PRIMITIVE_FOR_PARSING | 400 | 高的 |
| 装箱/拆箱以解析原始 org.apache.maven.plugins.assembly.model.io.xpp3.ComponentXpp3Reader.getLongValue(String, String, XmlPullParser, boolean) | 表现 | DM_BOXED_PRIMITIVE_FOR_PARSING | 430 | 高的 |
| 从未调用私有方法 org.apache.maven.plugins.assembly.model.io.xpp3.ComponentXpp3Reader.getBooleanValue(String, String, XmlPullParser) | 表现 | UPM_UNCALLED_PRIVATE_METHOD | 185 | 中等的 |
| 从未调用私有方法 org.apache.maven.plugins.assembly.model.io.xpp3.ComponentXpp3Reader.getDateValue(String, String, XmlPullParser) | 表现 | UPM_UNCALLED_PRIVATE_METHOD | 273 | 中等的 |
org.apache.maven.plugins.assembly.mojos.AbstractAssemblyMojo
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| org.apache.maven.plugins.assembly.mojos.AbstractAssemblyMojo.getDescriptorReferences() 可以通过返回 AbstractAssemblyMojo.descriptorRefs 来公开内部表示 | 恶意代码 | EI_EXPOSE_REP | 668 | 中等的 |
| org.apache.maven.plugins.assembly.mojos.AbstractAssemblyMojo.getDescriptors() 可以通过返回 AbstractAssemblyMojo.descriptors 来公开内部表示 | 恶意代码 | EI_EXPOSE_REP | 680 | 中等的 |
| org.apache.maven.plugins.assembly.mojos.AbstractAssemblyMojo.setDescriptorRefs(String[]) 可以通过将外部可变对象存储到 AbstractAssemblyMojo.descriptorRefs 来公开内部表示 | 恶意代码 | EI_EXPOSE_REP2 | 829 | 中等的 |
| org.apache.maven.plugins.assembly.mojos.AbstractAssemblyMojo.setDescriptors(String[]) 可以通过将外部可变对象存储到 AbstractAssemblyMojo.descriptors 中来公开内部表示 | 恶意代码 | EI_EXPOSE_REP2 | 685 | 中等的 |
org.apache.maven.plugins.assembly.utils.AssemblyFileUtils
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| java.io.File.mkdirs() 的异常返回值在 org.apache.maven.plugins.assembly.utils.AssemblyFileUtils.verifyTempDirectoryAvailability(File) 中被忽略 | BAD_PRACTICE | RV_RETURN_VALUE_IGNORED_BAD_PRACTICE | 84 | 中等的 |
org.apache.maven.plugins.assembly.utils.LineEndingsUtils
| 漏洞 | 类别 | 细节 | 线 | 优先 |
|---|---|---|---|---|
| 在 org.apache.maven.plugins.assembly.utils.LineEndingsUtils.getBufferedReader(File, String) 中发现对默认编码的依赖:new java.io.InputStreamReader(InputStream) | I18N | DM_DEFAULT_ENCODING | 117 | 高的 |
| 在 org.apache.maven.plugins.assembly.utils.LineEndingsUtils.getBufferedWriter(File, String) 中发现对默认编码的依赖:new java.io.OutputStreamWriter(OutputStream) | I18N | DM_DEFAULT_ENCODING | 131 | 高的 |