Different vulnerabilities for project with CLI and JFrog IntelliJ plugin

[MichiKurz]

Describe the bug
I am currently evaluating JFrog XRay and it kind of gives me mixed results. I was in contact with JFrog support as the CLI did not report vulnerabilities for transitive dependencies. That seems to be sorted out with version 2.8.1 of the CLI.

Now I have the problem, that the JFrog IntelliJ plugin gives me different results compared to the CLI output produced with jfrog am for a very simple test project. For me, the output of the CLI seems to be correct. The results in the plugin seem to miss a few vulnerabilities (though the dependencies are listed correctly).

To Reproduce

Run jfrog am for the provided test project and compare it to the vulnerabilities shown for the project in IntelliJ.

Expected behavior

Output of the CLI and IntelliJ should show the same vulnerabilities for the same code.

Screenshots

Vulnerabilities shown in IntelliJ JFrog tool window:

Output of jfrog am:

┌──────────┬───────────────────────────┬──────────┬───────┬──────────────────┬───────────────────────────┬───────────┬────────────────┬──────┬──────┬─────────────┐
│ SEVERITY │ IMPACTED PACKAGE          │ IMPACTED │ TYPE  │ FIXED VERSIONS   │ COMPONENT                 │ COMPONENT │ CVE            │ CVSS │ CVSS │ ISSUE ID    │
│          │                           │ PACKAGE  │       │                  │                           │ VERSION   │                │ V2   │ V3   │             │
│          │                           │ VERSION  │       │                  │                           │           │                │      │      │             │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ High     │ commons-collections:commo │ 3.2.1    │ Maven │ [3.2.2]          │ commons-collections:commo │ 3.2.1     │ CVE-2016-4372  │ 7.5  │ 9.8  │ XRAY-65665  │
│          │ ns-collections            │          │       │                  │ ns-collections            │           │ CVE-2016-4385  │ 7.5  │ 7.3  │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-4398  │ 6.5  │ 8.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2015-7501  │ 10.0 │ 9.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2015-6420  │ 7.5  │      │             │
│          │                           │          │       │                  │                           │           │ CVE-2015-8765  │ 7.5  │ 8.3  │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-4405  │ 6.5  │ 8.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-1985  │ 10.0 │ 10.0 │             │
│          │                           │          │       │                  │                           │           │ CVE-2015-4852  │ 7.5  │      │             │
│          │                           │          │       │                  │                           │           │ CVE-2015-8103  │ 7.5  │      │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-1997  │ 10.0 │ 9.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-4369  │ 6.5  │ 8.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-4373  │ 7.5  │ 9.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2015-7450  │ 10.0 │ 9.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-1986  │ 7.5  │ 9.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-1998  │ 10.0 │ 9.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-2009  │ 6.5  │ 8.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-1999  │ 10.0 │ 9.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2015-6934  │ 7.5  │ 7.3  │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-2000  │ 7.5  │ 9.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-2003  │ 7.5  │ 9.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-1114  │ 7.5  │ 9.8  │             │
│          │                           │          │       │                  │                           │           │ CVE-2016-4368  │ 7.5  │ 9.8  │             │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ High     │ commons-collections:commo │ 3.2.1    │ Maven │ [3.2.2]          │ commons-collections:commo │ 3.2.1     │ CVE-2017-15708 │ 7.5  │ 9.8  │ XRAY-60226  │
│          │ ns-collections            │          │       │                  │ ns-collections            │           │                │      │      │             │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ High     │ commons-collections:commo │ 3.2.1    │ Maven │ [3.2.2]          │ commons-collections:commo │ 3.2.1     │ CVE-2015-7501  │ 10.0 │ 9.8  │ XRAY-60228  │
│          │ ns-collections            │          │       │                  │ ns-collections            │           │                │      │      │             │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ Medium   │ org.springframework:sprin │ 5.3.9    │ Maven │ [5.2.18.RELEASE] │ org.springframework.boot: │ 2.5.4     │ CVE-2021-22096 │ 4.0  │ 4.3  │ XRAY-189875 │
│          │ g-core                    │          │       │ [5.3.12]         │ spring-boot-starter-web   │           │                │      │      │             │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ Medium   │ ch.qos.logback:logback-co │ 1.2.5    │ Maven │ [1.2.7]          │ org.springframework.boot: │ 2.5.4     │                │ 4.0  │      │ XRAY-81280  │
│          │ re                        │          │       │                  │ spring-boot-starter-web   │           │                │      │      │             │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ Medium   │ ch.qos.logback:logback-co │ 1.2.5    │ Maven │ [1.2.6]          │ org.springframework.boot: │ 2.5.4     │                │ 4.0  │ 5.5  │ XRAY-121270 │
│          │ re                        │          │       │ [1.3.0-alpha7]   │ spring-boot-starter-web   │           │                │      │      │             │
├──────────┼───────────────────────────┼──────────┼───────┼──────────────────┼───────────────────────────┼───────────┼────────────────┼──────┼──────┼─────────────┤
│ Medium   │ org.apache.tomcat.embed:t │ 9.0.52   │ Maven │ [8.5.72]         │ org.springframework.boot: │ 2.5.4     │ CVE-2021-42340 │ 5.0  │ 7.5  │ XRAY-187429 │
│          │ omcat-embed-websocket     │          │       │ [9.0.54]         │ spring-boot-starter-web   │           │                │      │      │             │
│          │                           │          │       │ [10.0.12]        │                           │           │                │      │      │             │
│          │                           │          │       │ [10.1.0-M6]      │                           │           │                │      │      │             │
└──────────┴───────────────────────────┴──────────┴───────┴──────────────────┴───────────────────────────┴───────────┴────────────────┴──────┴──────┴─────────────┘

Versions

• JFrog IDEA plugin version: 1.12.0 on IntelliJ 2021.3
• Operating system: macOS 11.6
• Xray version: 3.33.5
• JFrog CLI version: 2.8.1

Additional context

Test project (Maven):
test-project.zip

[yahavi]

@MichiKurz,
Thanks for reporting this issue!
There is an issue on JFrog Xray < 3.35.0 using with JFrog IDEA plugin >= 1.10.0 whereby all vulnerabilities belonged to the first component. In your case, you can see that commons-collections:commons-collections:3.2.1 contains 7 vulnerabilities in the Intellij IDEA plugin, however, 4 of them should belong to org.springframework.boot:spring-boot-starter-web:2.5.4.

This issue is resolved in JFrog Xray 3.35.0 and above - feel free to upgrade your Xray version.
Please let me know if that helped.

[kakakpy]

Why can't it be backward compatible? Our company xray hasn't upgraded