基础信息
项目名称:feedhq/feedhq
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1717761416010268672/1717761417327280128
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| 低危 | ||||
| Django 安全漏洞 | 跨站重定向 | MPS-2017-3675 | CVE-2017-7233 | 中危 |
| Django 安全漏洞 | 跨站重定向 | MPS-2017-3676 | CVE-2017-7234 | 中危 |
| Django HTML autoescaping 存在XSS漏洞 | XSS | MPS-2017-9957 | CVE-2017-12794 | 中危 |
| Django 安全漏洞 | 跨站重定向 | MPS-2018-10831 | CVE-2018-14574 | 中危 |
| Python 信任管理问题漏洞 | 凭证保护不足 | MPS-2018-13292 | CVE-2018-18074 | 高危 |
| lxml 跨站脚本漏洞 | XSS | MPS-2018-15340 | CVE-2018-19787 | 中危 |
| Django 安全漏洞 | 不正确的正则表达式 | MPS-2018-2966 | CVE-2018-7536 | 中危 |
| Django 安全漏洞 | 不正确的正则表达式 | MPS-2018-2967 | CVE-2018-7537 | 中危 |
| Django 输入验证错误漏洞 | 输入起始符转义处理不恰当 | MPS-2019-0372 | CVE-2019-3498 | 中危 |
| Pillow 安全漏洞 | 不加限制或调节的资源分配 | MPS-2019-12652 | CVE-2019-16865 | 高危 |
| Waitress 环境问题漏洞 | HTTP请求走私 | MPS-2019-16889 | CVE-2019-16785 | 高危 |
| Waitress 环境问题漏洞 | HTTP请求走私 | MPS-2019-16890 | CVE-2019-16786 | 高危 |
| Waitress 环境问题漏洞 | HTTP请求走私 | MPS-2019-17021 | CVE-2019-16789 | 高危 |
| Pillow 输入验证错误漏洞 | 整数溢出或环绕 | MPS-2020-0059 | CVE-2020-5310 | 高危 |
| Pillow 缓冲区错误漏洞 | 经典缓冲区溢出 | MPS-2020-0060 | CVE-2020-5311 | 严重 |
| Pillow 缓冲区错误漏洞 | 经典缓冲区溢出 | MPS-2020-0061 | CVE-2020-5312 | 严重 |
| Pillow 缓冲区错误漏洞 | 越界读取 | MPS-2020-0062 | CVE-2020-5313 | 高危 |
| Pillow 输入验证错误漏洞 | 整数溢出或环绕 | MPS-2020-0120 | CVE-2019-19911 | 高危 |
| Waitress 资源管理错误漏洞 | HTTP请求走私 | MPS-2020-1068 | CVE-2019-16792 | 高危 |
| Django 跨站脚本漏洞 | XSS | MPS-2020-13801 | CVE-2020-25626 | 中危 |
| Pytest 安全漏洞 | 拒绝服务 | MPS-2020-17082 | CVE-2020-29651 | 高危 |
| Lxml 跨站脚本漏洞 | XSS | MPS-2020-17664 | CVE-2020-27783 | 中危 |
| Django SQL注入漏洞 | SQL注入 | MPS-2020-3214 | CVE-2020-9402 | 高危 |
| Python Bleach 安全漏洞 | ReDoS | MPS-2020-36302 | CVE-2020-6817 | 高危 |
| Mozilla Bleach 跨站脚本漏洞 | XSS | MPS-2020-4539 | CVE-2020-6802 | 中危 |
| Mozilla Bleach 跨站脚本漏洞 | XSS | MPS-2020-4540 | CVE-2020-6816 | 中危 |
| Pillow 缓冲区错误漏洞 | 越界读取 | MPS-2020-9466 | CVE-2020-10177 | 中危 |
| Pillow 缓冲区错误漏洞 | 越界读取 | MPS-2020-9467 | CVE-2020-10378 | 中危 |
| Pillow 缓冲区错误漏洞 | 经典缓冲区溢出 | MPS-2020-9468 | CVE-2020-10379 | 高危 |
| Pillow 缓冲区错误漏洞 | 越界读取 | MPS-2020-9469 | CVE-2020-10994 | 中危 |
| Pillow 缓冲区错误漏洞 | 越界读取 | MPS-2020-9470 | CVE-2020-11538 | 高危 |
| Pillow 缓冲区错误漏洞 | 越界读取 | MPS-2021-0176 | CVE-2020-35653 | 高危 |
| Django 路径遍历漏洞 | 路径遍历 | MPS-2021-1129 | CVE-2021-3281 | 中危 |
| Python Bleach 跨站脚本漏洞 | XSS | MPS-2021-19930 | CVE-2021-23980 | 中危 |
| sqlparse 资源管理错误漏洞 | 拒绝服务 | MPS-2021-24598 | CVE-2021-32839 | 高危 |
| Pillow 资源管理错误漏洞 | 拒绝服务 | MPS-2021-2478 | CVE-2021-27921 | 高危 |
| Pillow 资源管理错误漏洞 | 拒绝服务 | MPS-2021-2479 | CVE-2021-27922 | 高危 |
| Pillow 资源管理错误漏洞 | 拒绝服务 | MPS-2021-2480 | CVE-2021-27923 | 高危 |
| Pillow 缓冲区错误漏洞 | 越界读取 | MPS-2021-3070 | CVE-2021-25293 | 高危 |
| Pillow 缓冲区错误漏洞 | 越界写入 | MPS-2021-3074 | CVE-2021-25290 | 高危 |
| Pillow 安全漏洞 | ReDoS | MPS-2021-3075 | CVE-2021-25292 | 中危 |
| Pillow 缓冲区错误漏洞 | 越界读取 | MPS-2021-3076 | CVE-2021-25291 | 高危 |
| Pillow 缓冲区错误漏洞 | 越界写入 | MPS-2021-3077 | CVE-2021-25289 | 严重 |
| Lxml 跨站脚本漏洞 | XSS | MPS-2021-3272 | CVE-2021-28957 | 中危 |
| lxml 注入漏洞 | XSS | MPS-2021-36943 | CVE-2021-43818 | 高危 |
| Django 安全漏洞 | 访问控制不当 | MPS-2021-37776 | CVE-2021-44420 | 高危 |
| Django 安全漏洞 | 拒绝服务 | MPS-2021-38772 | CVE-2021-45115 | 高危 |
| Django 安全漏洞 | 未授权敏感信息泄露 | MPS-2021-38773 | CVE-2021-45116 | 高危 |
| Django 路径遍历漏洞 | 路径遍历 | MPS-2021-39222 | CVE-2021-45452 | 中危 |
| Django SQL注入漏洞 | SQL注入 | MPS-2021-4680 | CVE-2021-30459 | 严重 |
| Django 代码问题漏洞 | 任意文件上传 | MPS-2021-6235 | CVE-2021-31542 | 高危 |
| Django 跨站脚本漏洞 | XSS | MPS-2021-6630 | CVE-2021-32052 | 中危 |
| Pillow 缓冲区错误漏洞 | 越界读取 | MPS-2021-7529 | CVE-2021-25287 | 严重 |
| Pillow 安全漏洞 | 不可达退出条件的循环(无限循环) | MPS-2021-7530 | CVE-2021-28676 | 高危 |
| Pillow 缓冲区错误漏洞 | 越界读取 | MPS-2021-7538 | CVE-2021-25288 | 严重 |
| Pillow 输入验证错误漏洞 | 拒绝服务 | MPS-2021-7618 | CVE-2021-28677 | 高危 |
| Pillow 数据伪造问题漏洞 | 对数据真实性的验证不充分 | MPS-2021-7765 | CVE-2021-28678 | 中危 |
| Pillow 资源管理错误漏洞 | 未加检查的返回值 | MPS-2021-7768 | CVE-2021-28675 | 中危 |
| Django 路径遍历漏洞 | 路径遍历 | MPS-2021-8265 | CVE-2021-33203 | 中危 |
| Pillow 缓冲区错误漏洞 | 经典缓冲区溢出 | MPS-2021-9796 | CVE-2021-34552 | 严重 |
| Pillow 安全漏洞 | 初始化不恰当 | MPS-2022-0817 | CVE-2022-22815 | 中危 |
| Pillow 缓冲区错误漏洞 | 越界读取 | MPS-2022-0818 | CVE-2022-22816 | 中危 |
| Pillow 安全漏洞 | 命令注入 | MPS-2022-0819 | CVE-2022-22817 | 严重 |
| Django 存在XSS漏洞 | XSS | MPS-2022-0820 | CVE-2022-22818 | 中危 |
| bleach 存在跨站脚本漏洞 | XSS | MPS-2022-14767 | 中危 | |
| djangorestframework 存在跨站脚本漏洞 | XSS | MPS-2022-14868 | 中危 | |
| lxml 存在路径遍历漏洞 | 路径遍历 | MPS-2022-14974 | 中危 | |
| pillow 存在拒绝服务漏洞 | 拒绝服务 | MPS-2022-15032 | 中危 | |
| waitress 存在使用欺骗进行的认证绕过漏洞 | 使用欺骗进行的认证绕过 | MPS-2022-15197 | 中危 | |
| Django Trunc和Extract方法存在 SQL 注入漏洞 | SQL注入 | MPS-2022-19581 | CVE-2022-34265 | 高危 |
| Django 无限循环漏洞 | 不可达退出条件的循环(无限循环) | MPS-2022-2266 | CVE-2022-23833 | 高危 |
| Pillow 验证错误漏洞 | 对数据真实性的验证不充分 | MPS-2022-3208 | CVE-2022-24303 | 严重 |
| Waitress 环境问题漏洞 | HTTP请求走私 | MPS-2022-3728 | CVE-2022-24761 | 高危 |
| lxml 和 libxml2 代码问题漏洞 | 空指针取消引用 | MPS-2022-46661 | CVE-2022-2309 | 高危 |
| Django ReDos漏洞 | ReDoS | MPS-2022-57756 | CVE-2022-41323 | 中危 |
| Pillow 安全漏洞 | 拒绝服务 | MPS-2022-64228 | CVE-2022-45198 | 高危 |
| Django SQL 注入漏洞 | SQL注入 | MPS-2022-7490 | CVE-2022-28346 | 严重 |
| redis-py 存在信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2023-8854 | CVE-2023-28858 | 中危 |
| redis-py 存在信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2023-8855 | CVE-2023-28859 | 中危 |
| Requests Proxy-Authorization 标头泄露漏洞 | 未授权敏感信息泄露 | MPS-hr61-tzey | CVE-2023-32681 | 中危 |
| sqlparse 安全漏洞 | ReDoS | MPS-zs9l-yk45 | CVE-2023-30608 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| django | 1.10.5 | 3.2.21 | 间接依赖 | 强烈建议修复 |
| django-debug-toolbar | 1.6 | 1.11.1 | 间接依赖 | 建议修复 |
| bleach | 1.5.0 | 3.3.0 | 间接依赖 | 建议修复 |
| Django | 1.10.5 | 3.2.20 | 间接依赖 | 建议修复 |
| sqlparse | 0.2.2 | 0.4.4 | 间接依赖 | 建议修复 |
| pillow | 4.0.0 | 9.3.0 | 间接依赖 | 建议修复 |
| lxml | 3.7.2 | 4.9.1 | 间接依赖 | 建议修复 |
| py | 1.4.32 | 1.10.0 | 间接依赖 | 建议修复 |
| waitress | 1.0.2 | 2.1.2 | 间接依赖 | 建议修复 |
| requests | 2.18.4 | 2.31.0 | 间接依赖 | 建议修复 |
| redis | 2.10.5 | 4.5.3 | 间接依赖 | 可选修复 |
| elasticsearch | 1.6.0 | 间接依赖 | 可选修复 | |
| djangorestframework | 3.5.3 | 3.11.2 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| MIT | 16 | 低 |
| 自定义许可证 | 19 | 低 |
| Apache-2.0 | 4 | 低 |
| BSD-2-Clause | 1 | 低 |
| ZPL-2.1 | 1 | 低 |
| BSD-3-Clause | 6 | 低 |
| HPND | 1 | 低 |
| ISC | 1 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| beautifulsoup4 | 4.5.3 | 间接依赖 | pip |
| django-password-reset | 0.9 | 间接依赖 | pip |
| validate_ipv46_address | 间接依赖 | pip | |
| django-floppyforms | 1.7.0 | 间接依赖 | pip |
| elasticsearch | 1.6.0 | 间接依赖 | pip |
| patch | 间接依赖 | pip | |
| parse_redis_url | 间接依赖 | pip | |
| timedelta_to_seconds | 间接依赖 | pip | |
| rb-inotify | 0.8.8 | 间接依赖 | bundler |
| pillow | 4.0.0 | 间接依赖 | pip |
| django-redis-cache | 1.7.1 | 间接依赖 | pip |
| URLValidator | 间接依赖 | pip | |
| Entry | 间接依赖 | pip | |
| Queue | 间接依赖 | pip | |
| scheduled_jobs | 间接依赖 | pip | |
| django-webtest | 1.8.0 | 间接依赖 | pip |
| more-itertools | 2.5.0 | 间接依赖 | pip |
| PermissionDenied | 间接依赖 | pip | |
| reverse | 间接依赖 | pip | |
| requests | 2.18.4 | 间接依赖 | pip |
| ffi | 1.1.5 | 间接依赖 | bundler |
| urlobject | 2.4.2 | 间接依赖 | pip |
| rache | 0.3.1 | 间接依赖 | pip |
| django-model-utils | 2.6.1 | 间接依赖 | pip |
| Subscription | 间接依赖 | pip | |
| django-elasticsearch-debug-toolbar | 1.0.4 | 间接依赖 | pip |
| py | 1.4.32 | 间接依赖 | pip |
| dev | 间接依赖 | pip | |
| Category | 间接依赖 | pip | |
| EmptyPage | 间接依赖 | pip | |
| BadToken | 间接依赖 | pip | |
| chunky_png | 1.2.6 | 间接依赖 | bundler |
| logging_tree | 1.7 | 间接依赖 | pip |
| pytest | 3.0.5 | 间接依赖 | pip |
| envdir | 0.7 | 间接依赖 | pip |
| feedparser | 5.2.1 | 间接依赖 | pip |
| thor | 0.16.0 | 间接依赖 | bundler |
| fssm | 0.2.9 | 间接依赖 | bundler |
| responses | 间接依赖 | pip | |
| django-ratelimit-backend | 1.1 | 间接依赖 | pip |
| waitress | 1.0.2 | 间接依赖 | pip |
| django-rq-dashboard | 0.3.1 | 间接依赖 | pip |
| pytest-django | 3.1.2 | 间接依赖 | pip |
| sass | 3.2.1 | 间接依赖 | bundler |
| djangorestframework | 3.5.3 | 间接依赖 | pip |
| python-magic | 0.4.12 | 间接依赖 | pip |
| Django | 1.10.5 | 间接依赖 | pip |
| Pillow | 4.0.0 | 间接依赖 | pip |
| django | 1.10.5 | 间接依赖 | pip |
| Feed | 间接依赖 | pip | |
| lxml | 3.7.2 | 间接依赖 | pip |
| psycopg2 | 2.7.4 | 间接依赖 | pip |
| sqlparse | 0.2.2 | 间接依赖 | pip |
| pytz | 2016.10 | 间接依赖 | pip |
| configure | 间接依赖 | pip | |
| bleach | 1.5.0 | 间接依赖 | pip |
| redis | 2.10.5 | 间接依赖 | pip |
| rest_framework | 间接依赖 | pip | |
| SubscriptionError | 间接依赖 | pip | |
| django-sekizai | 0.10.0 | 间接依赖 | pip |
| rq | 0.7.1 | 间接依赖 | pip |
| WebTest | 2.0.24 | 间接依赖 | pip |
| UniqueFeed | 间接依赖 | pip | |
| six | 1.10.0 | 间接依赖 | pip |
| requests-oauthlib | 0.5.0 | 间接依赖 | pip |
| delete_job | 间接依赖 | pip | |
| defusedxml | 0.5.0 | 间接依赖 | pip |
| django-debug-toolbar | 1.6 | 间接依赖 | pip |
| feeds_uniquefeed | 间接依赖 | pip | |
| compass | 0.12.2 | 间接依赖 | bundler |
| PropertyMock | 间接依赖 | pip | |
| parse_email_url | 间接依赖 | pip | |
| WebOb | 1.7.1 | 间接依赖 | pip |
| djangorestframework-xml | 1.3.0 | 间接依赖 | pip |
| factory-boy | 2.8.1 | 间接依赖 | pip |
| foreman | 0.60.0 | 间接依赖 | bundler |
| dj-database-url | 0.4.2 | 间接依赖 | pip |
| ratelimitbackend | 间接依赖 | pip | |
| URLObject | 2.4.2 | 间接依赖 | pip |
| reverse_lazy | 间接依赖 | pip | |
| Connection | 间接依赖 | pip | |
| compass-less-plugin | 1.0 | 间接依赖 | bundler |
| hiredis | 0.2.0 | 间接依赖 | pip |
| python-dateutil | 2.6.0 | 间接依赖 | pip |
| raven | 5.32.0 | 间接依赖 | pip |
| opml | 0.5 | 间接依赖 | pip |
| InvalidPage | 间接依赖 | pip | |
| django-push | 0.9 | 间接依赖 | pip |