didinj/node-express-postgresql-sequelize 软件分析报告

2023年10月25日下午8:29 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：didinj/node-express-postgresql-sequelize

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1717156363779227648/1717156365041713152

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
lodash 拒绝服务漏洞	拒绝服务	MPS-2021-2574	CVE-2020-28500	中危
lodash 命令注入漏洞	代码注入	MPS-2021-2638	CVE-2021-23337	高危
validator.js 拒绝服务漏洞	拒绝服务	MPS-2021-31021	CVE-2021-3765	高危
org.webjars.bower:underscore 代码注入漏洞	代码注入	MPS-2021-3658	CVE-2021-23358	高危
Moment.js 正则拒绝服务漏洞	拒绝服务	MPS-2022-11159	CVE-2022-31129	高危
ejs	代码注入	MPS-2022-13642		中危
lodash	拒绝服务	MPS-2022-13841		高危
validator	拒绝服务	MPS-2022-14122		中危
validator	拒绝服务	MPS-2022-14123		中危
validator	拒绝服务	MPS-2022-14124		中危
Moment.js 路径遍历漏洞	路径遍历	MPS-2022-3752	CVE-2022-24785	中危
Express 中的 qs 模块存在原型污染漏洞	原型污染	MPS-2022-3967	CVE-2022-24999	高危
node-semver 安全漏洞	ReDoS	MPS-2022-5166	CVE-2022-25883	高危
sequelize SQL 注入漏洞	SQL注入	MPS-2022-52071		高危
sequelize SQL注入	SQL注入	MPS-2022-54713		严重
moment-timezone 存在命令注入	命令注入	MPS-2022-56430		严重
minimatch 资源管理错误漏洞	拒绝服务	MPS-2022-59845	CVE-2022-3517	高危
Github ejs 安全漏洞	注入	MPS-2022-8391	CVE-2022-29078	严重
feathers-sequelize 安全漏洞	特殊元素过滤不恰当	MPS-2023-0127	CVE-2023-22578	严重
feathers-sequelize 安全漏洞	SQL注入	MPS-2023-0128	CVE-2023-22579	高危
Tiki Wiki CMS Groupware 信息泄露漏洞	用 PHP 编写的软件的弱点	MPS-2023-0129	CVE-2023-22580	高危
ejs 存在服务端模板注入漏洞	注入	MPS-2023-10199	CVE-2023-29827	严重
Sequelize	SQL注入	MPS-2023-4688	CVE-2023-25813	高危
dottie 安全漏洞	原型污染	MPS-2023-5126	CVE-2023-26132	高危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
moment-timezone	0.5.31	0.5.35	间接依赖	建议修复
qs	6.7.0	6.7.3	间接依赖	建议修复
underscore	1.10.2	1.12.1	间接依赖	建议修复
express	4.17.1	4.17.3	直接依赖	建议修复
validator	10.11.0	13.7.0	间接依赖	建议修复
lodash	4.17.19	4.17.21	间接依赖	建议修复
minimatch	3.0.4	3.0.5	间接依赖	建议修复
dottie	2.0.2	2.0.4	间接依赖	建议修复
ejs	3.1.3		直接依赖	建议修复
sequelize	6.2.4	6.29.0	直接依赖	建议修复
moment	2.27.0	2.29.4	间接依赖	可选修复
semver	7.3.2	7.5.2	间接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
MIT	91	低
自定义许可证	1	低
ISC	5	低
Apache-2.0	3	低
BSD-3-Clause	1	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
sequelize	6.2.4	直接依赖	npm
merge-descriptors	1.0.1	间接依赖	npm
cookie-signature	1.0.6	间接依赖	npm
buffer-writer	2.0.0	间接依赖	npm
xtend	4.0.2	间接依赖	npm
ansi-styles	3.2.1	间接依赖	npm
any-promise	1.3.0	间接依赖	npm
pg	8.2.1	直接依赖	npm
pg-types	2.2.0	间接依赖	npm
ipaddr.js	1.9.1	间接依赖	npm
type-is	1.6.18	间接依赖	npm
@types/node	14.0.14	间接依赖	npm
moment-timezone	0.5.31	间接依赖	npm
pg-int8	1.0.1	间接依赖	npm
cookie	0.4.0	间接依赖	npm
serve-static	1.14.1	间接依赖	npm
unpipe	1.0.0	间接依赖	npm
has-flag	3.0.0	间接依赖	npm
balanced-match	1.0.0	间接依赖	npm
chalk	2.4.2	间接依赖	npm
debug	4.1.1	间接依赖	npm
safe-buffer	5.1.2	间接依赖	npm
utils-merge	1.0.1	间接依赖	npm
bytes	3.1.0	间接依赖	npm
depd	1.1.2	间接依赖	npm
negotiator	0.6.2	间接依赖	npm
accepts	1.3.7	间接依赖	npm
minimatch	3.0.4	间接依赖	npm
dottie	2.0.2	间接依赖	npm
pg-protocol	1.2.4	间接依赖	npm
packet-reader	1.0.0	间接依赖	npm
body-parser	1.19.0	间接依赖	npm
setprototypeof	1.2.0	间接依赖	npm
supports-color	5.5.0	间接依赖	npm
etag	1.8.1	间接依赖	npm
sequelize-pool	6.0.0	间接依赖	npm
range-parser	1.2.1	间接依赖	npm
basic-auth	2.0.1	间接依赖	npm
send	0.17.1	间接依赖	npm
ms	2.0.0	间接依赖	npm
uuid	8.2.0	间接依赖	npm
mime-db	1.44.0	间接依赖	npm
pg-hstore	2.3.3	直接依赖	npm
content-type	1.0.4	间接依赖	npm
iconv-lite	0.4.24	间接依赖	npm
underscore	1.10.2	间接依赖	npm
async	0.9.2	间接依赖	npm
inflection	1.12.0	间接依赖	npm
color-name	1.1.3	间接依赖	npm
split	1.0.1	间接依赖	npm
postgres-date	1.0.5	间接依赖	npm
toidentifier	1.0.0	间接依赖	npm
express	4.17.1	直接依赖	npm
pg-connection-string	2.2.3	间接依赖	npm
inherits	2.0.3	间接依赖	npm
mime-types	2.1.27	间接依赖	npm
content-disposition	0.5.3	间接依赖	npm
postgres-array	2.0.0	间接依赖	npm
toposort-class	1.0.1	间接依赖	npm
statuses	1.5.0	间接依赖	npm
finalhandler	1.1.2	间接依赖	npm
moment	2.27.0	间接依赖	npm
through	2.3.8	间接依赖	npm
on-headers	1.0.2	间接依赖	npm
array-flatten	1.1.1	间接依赖	npm
destroy	1.0.4	间接依赖	npm
raw-body	2.4.0	间接依赖	npm
escape-html	1.0.3	间接依赖	npm
vary	1.1.2	间接依赖	npm
postgres-interval	1.2.0	间接依赖	npm
encodeurl	1.0.2	间接依赖	npm
retry-as-promised	3.2.0	间接依赖	npm
cookie-parser	1.4.5	直接依赖	npm
escape-string-regexp	1.0.5	间接依赖	npm
color-convert	1.9.3	间接依赖	npm
path-to-regexp	0.1.7	间接依赖	npm
on-finished	2.3.0	间接依赖	npm
lodash	4.17.19	间接依赖	npm
fresh	0.5.2	间接依赖	npm
jake	10.8.2	间接依赖	npm
validator	10.11.0	间接依赖	npm
pg-pool	3.2.1	间接依赖	npm
semver	7.3.2	间接依赖	npm
postgres-bytea	1.0.0	间接依赖	npm
forwarded	0.1.2	间接依赖	npm
wkx	0.5.0	间接依赖	npm
concat-map	0.0.1	间接依赖	npm
brace-expansion	1.1.11	间接依赖	npm
filelist	1.0.1	间接依赖	npm
ee-first	1.1.1	间接依赖	npm
http-errors	1.8.0	间接依赖	npm
safer-buffer	2.1.2	间接依赖	npm
methods	1.1.2	间接依赖	npm
qs	6.7.0	间接依赖	npm
media-typer	0.3.0	间接依赖	npm
morgan	1.10.0	直接依赖	npm
proxy-addr	2.0.6	间接依赖	npm
pgpass	1.0.2	间接依赖	npm
parseurl	1.3.3	间接依赖	npm
ejs	3.1.3	直接依赖	npm
mime	1.6.0	间接依赖	npm

SBOM 开源软件漏洞

赞 (0)

didinj/mean-stack-angular6-crud-example 软件分析报告

上一篇 2023年10月25日

didinj/mern-stack-crud 软件分析报告

下一篇 2023年10月25日

fatedier/frp 软件分析报告

基础信息项目名称：fatedier/frp 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721188441764466688/1726110426931875840 此报告由Murphysec提供漏洞列表 …

软件分析 2023年11月19日
00
cezheng/PySwiftyRegex 软件分析报告

基础信息项目名称：cezheng/PySwiftyRegex 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716618153840738304/1716618154176282624 此报告由Murphyse…

软件分析 2023年10月24日
00
ioslovers/ATTabandHoldAudioRecord 软件分析报告

基础信息项目名称：ioslovers/ATTabandHoldAudioRecord 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1718860535051190272/1718860535839719424 …

软件分析 2023年10月30日
00
jonan/ForkHub 软件分析报告

基础信息项目名称：jonan/ForkHub 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1719237808379183104/1719237809016717312 此报告由Murphysec提供漏洞列表…

软件分析 2023年10月31日
00
chewiebug/GCViewer 软件分析报告

基础信息项目名称：chewiebug/GCViewer 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716644879659745280/1716644881073225728 此报告由Murphysec提供…

软件分析 2023年10月24日
00