基础信息
项目名称:ceph/calamari
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1716610017028521984/1716610017615724544
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| SaltStack Salt 安全漏洞 | 在文件访问前对链接解析不恰当(链接跟随) | MPS-2014-4149 | CVE-2014-3563 | 高危 |
| Requests 信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2014-5772 | CVE-2014-1829 | 中危 |
| Requests 信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2014-5773 | CVE-2014-1830 | 中危 |
| Salt 信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2017-1019 | CVE-2015-8034 | 低危 |
| SaltStack Salt 授权问题漏洞 | 身份验证不当 | MPS-2017-1038 | CVE-2016-3176 | 中危 |
| SaltStack Salt 安全漏洞 | 身份验证不当 | MPS-2017-10909 | CVE-2017-5192 | 高危 |
| SaltStack Salt 安全漏洞 | 代码注入 | MPS-2017-10910 | CVE-2017-5200 | 高危 |
| Salt 安全漏洞 | 未授权敏感信息泄露 | MPS-2017-11309 | CVE-2015-6918 | 中危 |
| SaltStack Salt 安全漏洞 | 访问控制不当 | MPS-2017-1353 | CVE-2016-9639 | 严重 |
| SaltStack Insecure Temporary File 安全漏洞 | 数据处理错误 | MPS-2017-4154 | CVE-2015-1838 | 中危 |
| SaltStack 安全漏洞 | 数据处理错误 | MPS-2017-4155 | CVE-2015-1839 | 中危 |
| SaltStack Salt 安全漏洞 | 未授权敏感信息泄露 | MPS-2017-4821 | CVE-2017-8109 | 高危 |
| SaltStack Salt 路径遍历漏洞 | 路径遍历 | MPS-2017-9449 | CVE-2017-12791 | 严重 |
| Python 信任管理问题漏洞 | 凭证保护不足 | MPS-2018-13292 | CVE-2018-18074 | 高危 |
| SaltStack Salt 路径遍历漏洞 | 路径遍历 | MPS-2018-14105 | CVE-2018-15750 | 中危 |
| SaltStack Salt 授权问题漏洞 | 身份验证不当 | MPS-2018-14106 | CVE-2018-15751 | 严重 |
| SaltStack Salt 安全漏洞 | 反序列化 | MPS-2018-5333 | CVE-2017-7893 | 严重 |
| SQLAlchemy SQL注入漏洞 | SQL注入 | MPS-2019-1414 | CVE-2019-7548 | 高危 |
| psutil 资源管理错误漏洞 | 双重释放 | MPS-2019-14454 | CVE-2019-18874 | 高危 |
| SQLAlchemy SQL注入漏洞 | SQL注入 | MPS-2019-1782 | CVE-2019-7164 | 严重 |
| SaltStack Salt MySQL模块SQL注入漏洞 | SQL注入 | MPS-2019-8180 | CVE-2019-1010259 | 严重 |
| Django 跨站脚本漏洞 | XSS | MPS-2020-13801 | CVE-2020-25626 | 中危 |
| SaltStack Salt 操作系统命令注入漏洞 | OS命令注入 | MPS-2020-16754 | CVE-2020-16846 | 严重 |
| SaltStack Salt 授权问题漏洞 | 关键资源权限分配不当 | MPS-2020-16757 | CVE-2020-17490 | 中危 |
| SaltStack Salt 输入验证错误漏洞 | 代码注入 | MPS-2020-6920 | CVE-2020-11651 | 严重 |
| SaltStack Salt 输入验证错误漏洞 | 路径遍历 | MPS-2020-6921 | CVE-2020-11652 | 中危 |
| Saltstack SaltStack Salt 安全漏洞 | 权限、特权和访问控制 | MPS-2021-18795 | CVE-2021-21996 | 高危 |
| Saltstack SaltStack Salt 安全漏洞 | 竞争条件 | MPS-2021-18798 | CVE-2021-22004 | 中危 |
| Saltstack SaltStack Salt 命令注入漏洞 | 命令注入 | MPS-2021-2267 | CVE-2021-3148 | 严重 |
| Saltstack SaltStack Salt 注入漏洞 | 注入 | MPS-2021-2268 | CVE-2021-3197 | 严重 |
| Saltstack SaltStack Salt 命令注入漏洞 | 命令注入 | MPS-2021-2277 | CVE-2020-28243 | 高危 |
| Saltstack SaltStack Salt 信任管理问题漏洞 | 证书验证不恰当 | MPS-2021-2280 | CVE-2020-28972 | 中危 |
| Saltstack SaltStack Salt 信任管理问题漏洞 | 证书验证不恰当 | MPS-2021-2281 | CVE-2020-35662 | 高危 |
| Saltstack SaltStack Salt 授权问题漏洞 | 身份验证不当 | MPS-2021-2310 | CVE-2021-25281 | 严重 |
| Saltstack SaltStack Salt 路径遍历漏洞 | 路径遍历 | MPS-2021-2311 | CVE-2021-25282 | 严重 |
| Saltstack SaltStack Salt 代码注入漏洞 | 代码注入 | MPS-2021-2312 | CVE-2021-25283 | 严重 |
| Saltstack SaltStack Salt 安全漏洞 | 日志敏感信息泄露 | MPS-2021-2313 | CVE-2021-25284 | 中危 |
| Saltstack SaltStack Salt 代码问题漏洞 | 不充分的会话过期机制 | MPS-2021-2342 | CVE-2021-3144 | 严重 |
| SaltStack Salt 安全漏洞 | 经典缓冲区溢出 | MPS-2021-24921 | CVE-2021-33226 | 严重 |
| Twisted SSH 握手时存在拒绝服务漏洞 | 拒绝服务 | MPS-2021-37074 | CVE-2022-21716 | 高危 |
| Django 安全漏洞 | 数值类型间的不正确转换 | MPS-2021-5309 | CVE-2020-15225 | 中危 |
| Saltstack SaltStack Salt 安全漏洞 | MPS-2022-1064 | CVE-2022-22934 | 高危 | |
| Saltstack SaltStack Salt 安全漏洞 | 身份验证不当 | MPS-2022-1065 | CVE-2022-22935 | 低危 |
| Saltstack SaltStack Salt 安全漏洞 | 使用捕获-重放进行的认证绕过 | MPS-2022-1066 | CVE-2022-22936 | 高危 |
| SaltStack Salt 安全漏洞 | 关键资源权限分配不当 | MPS-2022-1071 | CVE-2022-22941 | 高危 |
| SaltStack Salt 安全漏洞 | 授权检查错误 | MPS-2022-1097 | CVE-2022-22967 | 高危 |
| django-jsonfield 存在跨站脚本漏洞 | XSS | MPS-2022-14855 | 高危 | |
| djangorestframework 存在跨站脚本漏洞 | XSS | MPS-2022-14864 | 中危 | |
| djangorestframework 存在跨站脚本漏洞 | XSS | MPS-2022-14867 | 中危 | |
| djangorestframework 存在跨站脚本漏洞 | XSS | MPS-2022-14868 | 中危 | |
| gevent 存在信息暴露漏洞 | 未授权敏感信息泄露 | MPS-2022-14926 | 中危 | |
| Django Trunc和Extract方法存在 SQL 注入漏洞 | SQL注入 | MPS-2022-19581 | CVE-2022-34265 | 高危 |
| CVE-2022-2282漏洞 | 整数溢出或环绕 | MPS-2022-30139 | CVE-2022-2282 | 中危 |
| Python 安全漏洞 | ReDoS | MPS-2022-57238 | CVE-2022-40897 | 中危 |
| SaltStack Salt 安全漏洞 | 不恰当的资源关闭或释放 | MPS-2022-62869 | CVE-2023-20897 | 中危 |
| SaltStack Salt 安全漏洞 | MPS-2022-62870 | CVE-2023-20898 | 高危 | |
| Gevent 安全漏洞 | MPS-d183-ymbv | CVE-2023-41419 | 严重 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| salt | 2014.1 | 3006.2 | 间接依赖 | 强烈建议修复 |
| django-jsonfield | 0.9.10 | 1.0.1 | 间接依赖 | 建议修复 |
| sqlalchemy | 0.8.3 | 1.2.18 | 间接依赖 | 建议修复 |
| Twisted | 11.1.0 | 22.2.0 | 间接依赖 | 建议修复 |
| requests | 1.2.3 | 2.31.0 | 间接依赖 | 建议修复 |
| psutil | 2.0.0 | 5.6.7 | 间接依赖 | 建议修复 |
| Django | 1.5.1 | 4.2.3 | 间接依赖 | 建议修复 |
| gevent | 1.0.2 | 23.9.0 | 间接依赖 | 可选修复 |
| djangorestframework | 2.3.12 | 3.11.2 | 间接依赖 | 可选修复 |
| setuptools | 39.2.0 | 65.5.1 | 间接依赖 | 可选修复 |
| django-filter | 0.6 | 2.4.0 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| MIT | 8 | 低 |
| 自定义许可证 | 10 | 低 |
| Apache-2.0 | 2 | 低 |
| BSD-2-Clause | 1 | 低 |
| BSD-3-Clause | 2 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| CalamariConfig | 间接依赖 | pip | |
| Twisted | 11.1.0 | 间接依赖 | pip |
| fake_async | 间接依赖 | pip | |
| POOL | 间接依赖 | pip | |
| Markdown | 2.3.1 | 间接依赖 | pip |
| python-dateutil | 2.2 | 间接依赖 | pip |
| get_remote | 间接依赖 | pip | |
| mock | 1.0.1 | 间接依赖 | pip |
| Mock | 间接依赖 | pip | |
| cython | 0.19.2 | 间接依赖 | pip |
| django-tagging | 0.3.1 | 间接依赖 | pip |
| calamari_common | 间接依赖 | pip | |
| MON | 间接依赖 | pip | |
| Sphinx | 1.1.3 | 间接依赖 | pip |
| manhole | 0.6.0 | 间接依赖 | pip |
| setuptools | 39.2.0 | 间接依赖 | pip |
| PoolViewSet | 间接依赖 | pip | |
| RestApiUnitTest | 间接依赖 | pip | |
| pyzmq | 14.2.0 | 间接依赖 | pip |
| requests | 1.2.3 | 间接依赖 | pip |
| ServerTestCase | 间接依赖 | pip | |
| SYNC_OBJECT_STR_TYPE | 间接依赖 | pip | |
| rest_framework | 间接依赖 | pip | |
| argparse | 1.2.1 | 间接依赖 | pip |
| psycogreen | 1.0 | 间接依赖 | pip |
| wsgiref | 0.1.2 | 间接依赖 | pip |
| django-filter | 0.6 | 间接依赖 | pip |
| diamond | 3.4.421 | 间接依赖 | pip |
| OSD_RECOVERY_PERIOD | 间接依赖 | pip | |
| nose | 1.3.0 | 间接依赖 | pip |
| AlembicConfig | 间接依赖 | pip | |
| ParseError | 间接依赖 | pip | |
| django-nose | 1.2 | 间接依赖 | pip |
| scalable_wait_until_true | 间接依赖 | pip | |
| djangorestframework | 2.3.12 | 间接依赖 | pip |
| SimpleXMLRPCServer | 间接依赖 | pip | |
| greenlet | 0.4.9 | 间接依赖 | pip |
| django | 间接依赖 | pip | |
| patch | 间接依赖 | pip | |
| salt | 2014.1 | 间接依赖 | pip |
| psycopg2 | 2.5.2 | 间接依赖 | pip |
| M2crypto | 0.22.3 | 间接依赖 | pip |
| calamari_rest | 间接依赖 | pip | |
| Remote | 间接依赖 | pip | |
| pytz | 2013.8 | 间接依赖 | pip |
| ServerMonitor | 间接依赖 | pip | |
| Unavailable | 间接依赖 | pip | |
| gevent | 1.0.2 | 间接依赖 | pip |
| OsdMap | 间接依赖 | pip | |
| cthulhu | 间接依赖 | pip | |
| ServerState | 间接依赖 | pip | |
| alembic | 0.6.3 | 间接依赖 | pip |
| django-jsonfield | 0.9.10 | 间接依赖 | pip |
| EmbeddedCalamariControl | 间接依赖 | pip | |
| Django | 1.5.1 | 间接依赖 | pip |
| ExternalCalamariControl | 间接依赖 | pip | |
| ConfigParser | 间接依赖 | pip | |
| ServiceId | 间接依赖 | pip | |
| run_once | 间接依赖 | pip | |
| tests | 间接依赖 | pip | |
| PgSummary | 间接依赖 | pip | |
| psutil | 2.0.0 | 间接依赖 | pip |
| SaltKeyViewSet | 间接依赖 | pip | |
| sqlalchemy | 0.8.3 | 间接依赖 | pip |
| zerorpc | 0.4.4 | 间接依赖 | pip |