good-parts/aws-bootstrap 软件分析报告

2023年10月28日下午5:49 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：good-parts/aws-bootstrap

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1718203338487103488/1718203338898145280

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
systeminformation 命令注入漏洞	命令注入	MPS-2020-15121	CVE-2020-7752	高危
lodash	原型污染	MPS-2020-15679	CVE-2020-8203	高危
Axios 服务器端请求伪造漏洞	SSRF	MPS-2020-16365	CVE-2020-28168	中危
systeminformation 操作系统命令注入漏洞	OS命令注入	MPS-2020-16457	CVE-2020-7778	高危
systeminformation 操作系统命令注入漏洞	OS命令注入	MPS-2020-16698	CVE-2020-26245	严重
Ini	拒绝服务	MPS-2020-17544	CVE-2020-7788	高危
systeminformation 操作系统命令注入漏洞	OS命令注入	MPS-2020-17592	CVE-2020-26274	高危
systeminformation 命令注入漏洞	OS命令注入	MPS-2020-33755	CVE-2020-26300	严重
Systeminformation 操作系统命令注入漏洞	OS命令注入	MPS-2021-1510	CVE-2021-21315	高危
pac-resolver	代码注入	MPS-2021-17857	CVE-2021-23406	严重
lodash 拒绝服务漏洞	拒绝服务	MPS-2021-2574	CVE-2020-28500	中危
lodash 命令注入漏洞	代码注入	MPS-2021-2638	CVE-2021-23337	高危
Axios 拒绝服务漏洞	拒绝服务	MPS-2021-30688	CVE-2021-3749	高危
Npm netmask 访问控制绕过漏洞	访问控制不当	MPS-2021-3762	CVE-2021-29418	中危
netmask	不正确的类型转换	MPS-2021-3808	CVE-2021-28918	严重
systeminformation 操作系统命令注入漏洞	OS命令注入	MPS-2021-5480	CVE-2021-21388	严重
npm path-parse 安全漏洞	拒绝服务	MPS-2021-6165	CVE-2021-23343	高危
ws 存在拒绝服务漏洞	拒绝服务	MPS-2021-7109	CVE-2021-32640	中危
shelljs	权限管理不当	MPS-2022-0508	CVE-2022-0144	高危
follow-redirects	侵犯隐私	MPS-2022-0815	CVE-2022-0155	中危
Moment.js 正则拒绝服务漏洞	拒绝服务	MPS-2022-11159	CVE-2022-31129	高危
lodash	拒绝服务	MPS-2022-13841		高危
lodash	拒绝服务	MPS-2022-13842		高危
pm2 存在命令注入漏洞	OS命令注入	MPS-2022-13971		中危
pm2 存在命令注入漏洞	OS命令注入	MPS-2022-13972		中危
systeminformation 存在拒绝服务漏洞	拒绝服务	MPS-2022-14077		中危
systeminformation 存在SSRF漏洞	SSRF	MPS-2022-14078		中危
systeminformation 验证错误漏洞	对数据真实性的验证不充分	MPS-2022-14079		低危
vizion 存在命令注入漏洞	OS命令注入	MPS-2022-14136		高危
follow-redirects	未授权敏感信息泄露	MPS-2022-3636	CVE-2022-0536	中危
Moment.js 路径遍历漏洞	路径遍历	MPS-2022-3752	CVE-2022-24785	中危
node-semver 安全漏洞	ReDoS	MPS-2022-5166	CVE-2022-25883	高危
moment-timezone 存在命令注入	命令注入	MPS-2022-56430		严重
minimatch 资源管理错误漏洞	拒绝服务	MPS-2022-59845	CVE-2022-3517	高危
needle 存在Authorization请求头泄露漏洞	未授权敏感信息泄露	MPS-2022-7866		中危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
systeminformation	4.16.0	5.21.7	间接依赖	强烈建议修复
vizion	2.0.2	2.1.0	间接依赖	建议修复
path-parse	1.0.6	1.0.7	间接依赖	建议修复
ini	1.3.5	1.3.6	间接依赖	建议修复
netmask	1.0.6	2.0.1	间接依赖	建议修复
shelljs	0.8.3	0.8.5	间接依赖	建议修复
moment-timezone	0.5.27	0.5.35	间接依赖	建议修复
minimatch	3.0.4	3.0.5	间接依赖	建议修复
lodash	4.17.14	4.17.21	间接依赖	建议修复
axios	0.19.0	0.21.3	间接依赖	建议修复
pac-resolver	3.0.0	5.0.0	间接依赖	建议修复
moment	2.24.0	2.29.4	间接依赖	可选修复
ws	5.2.2	5.2.3	间接依赖	可选修复
pm2	4.2.1	4.3.0	直接依赖	可选修复
semver	5.7.1	7.5.2	间接依赖	可选修复
follow-redirects	1.5.10	1.14.8	间接依赖	可选修复
needle	2.4.0	3.1.0	间接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
MIT	94	低
ISC	16	低
Apache-2.0	4	低
BSD-2-Clause	4	低
Apache 2.0	1	低
BSD-3-Clause	2	低
Apache-2	1	低
自定义许可证	1	低
AGPL-3.0	1	高

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
git-sha1	0.1.2	间接依赖	npm
ms	2.0.0	间接依赖	npm
axios	0.19.0	间接依赖	npm
glob	7.1.6	间接依赖	npm
pm2-multimeter	0.1.2	间接依赖	npm
vizion	2.0.2	间接依赖	npm
moment	2.24.0	间接依赖	npm
supports-color	5.5.0	间接依赖	npm
pm2	4.2.1	直接依赖	npm
@pm2/agent-node	1.1.10	间接依赖	npm
@pm2/pm2-version-check	1.0.3	间接依赖	npm
lodash.get	4.4.2	间接依赖	npm
ansi-regex	2.1.1	间接依赖	npm
readable-stream	2.3.6	间接依赖	npm
semver	5.7.1	间接依赖	npm
source-map-support	0.5.12	间接依赖	npm
culvert	0.1.2	间接依赖	npm
inflight	1.0.6	间接依赖	npm
brace-expansion	1.1.11	间接依赖	npm
interpret	1.2.0	间接依赖	npm
inherits	2.0.4	间接依赖	npm
es6-promise	4.2.8	间接依赖	npm
yamljs	0.3.0	间接依赖	npm
pm2-axon-rpc	0.5.1	间接依赖	npm
tslib	1.9.3	间接依赖	npm
@opencensus/core	0.0.9	间接依赖	npm
continuation-local-storage	3.2.1	间接依赖	npm
resolve	1.13.1	间接依赖	npm
enquirer	2.3.2	间接依赖	npm
has-ansi	2.0.0	直接依赖	npm
iconv-lite	0.4.24	间接依赖	npm
debug	2.6.9	间接依赖	npm
lodash	4.17.14	间接依赖	npm
needle	2.4.0	间接依赖	npm
pako	0.2.9	间接依赖	npm
chalk	2.4.2	间接依赖	npm
amp-message	0.1.2	间接依赖	npm
http-proxy-agent	2.1.0	间接依赖	npm
https-proxy-agent	3.0.1	间接依赖	npm
date-fns	1.30.1	间接依赖	npm
raw-body	2.4.1	间接依赖	npm
amp	0.3.1	间接依赖	npm
@pm2/js-api	0.5.60	间接依赖	npm
pac-resolver	3.0.0	间接依赖	npm
safer-buffer	2.1.2	间接依赖	npm
commander	2.15.1	间接依赖	npm
data-uri-to-buffer	1.2.0	间接依赖	npm
netmask	1.0.6	间接依赖	npm
http-errors	1.7.3	间接依赖	npm
emitter-listener	1.1.2	间接依赖	npm
proxy-agent	3.1.1	间接依赖	npm
color-convert	1.9.3	间接依赖	npm
unpipe	1.0.0	间接依赖	npm
cron	1.7.1	间接依赖	npm
es6-promisify	5.0.0	间接依赖	npm
socks-proxy-agent	4.0.2	间接依赖	npm
module-details-from-path	1.0.3	间接依赖	npm
lodash.last	3.0.0	间接依赖	npm
shelljs	0.8.3	间接依赖	npm
signal-exit	3.0.2	间接依赖	npm
co	4.6.0	间接依赖	npm
balanced-match	1.0.0	间接依赖	npm
strip-ansi	3.0.1	直接依赖	npm
path-is-absolute	1.0.1	间接依赖	npm
fs.realpath	1.0.0	间接依赖	npm
wrappy	1.0.2	间接依赖	npm
ansi-colors	3.2.4	间接依赖	npm
socks	2.3.3	间接依赖	npm
fclone	1.0.11	间接依赖	npm
ultron	1.1.1	直接依赖	npm
ftp	0.3.10	间接依赖	npm
has-flag	3.0.0	间接依赖	npm
lodash.foreach	4.5.0	间接依赖	npm
picomatch	2.1.1	直接依赖	npm
thunkify	2.1.2	间接依赖	npm
sax	1.2.4	间接依赖	npm
cli-table-redemption	1.0.1	间接依赖	npm
moment-timezone	0.5.27	间接依赖	npm
sprintf-js	1.1.2	间接依赖	npm
bytes	3.1.0	间接依赖	npm
mute-stream	0.0.8	间接依赖	npm
ini	1.3.5	间接依赖	npm
proxy-from-env	1.0.0	间接依赖	npm
pm2-deploy	0.4.0	间接依赖	npm
escape-string-regexp	1.0.5	间接依赖	npm
@pm2/io	4.3.3	间接依赖	npm
buffer-from	1.1.1	间接依赖	npm
mkdirp	0.5.1	间接依赖	npm
async-listener	0.6.10	间接依赖	npm
extend	3.0.2	间接依赖	npm
lazy	1.0.11	直接依赖	npm
smart-buffer	4.1.0	间接依赖	npm
escape-regexp	0.0.1	间接依赖	npm
git-node-fs	1.0.0	间接依赖	npm
once	1.4.0	间接依赖	npm
promptly	2.2.0	间接依赖	npm
rechoir	0.6.2	间接依赖	npm
js-git	0.7.8	间接依赖	npm
ansi-styles	3.2.1	间接依赖	npm
@opencensus/propagation-b3	0.0.8	间接依赖	npm
ip	1.1.5	间接依赖	npm
follow-redirects	1.5.10	间接依赖	npm
yallist	3.1.1	间接依赖	npm
uuid	3.3.3	间接依赖	npm
lodash.findindex	4.6.0	间接依赖	npm
systeminformation	4.16.0	间接依赖	npm
ps-list	6.3.0	间接依赖	npm
blessed	0.1.81	间接依赖	npm
path-parse	1.0.6	间接依赖	npm
safe-buffer	5.1.2	间接依赖	npm
bodec	0.1.0	间接依赖	npm
shimmer	1.2.1	间接依赖	npm
color-name	1.1.3	间接依赖	npm
async-limiter	1.0.1	间接依赖	npm
log-driver	1.2.7	间接依赖	npm
read	1.0.7	间接依赖	npm
lru-cache	5.1.1	间接依赖	npm
require-in-the-middle	5.0.2	间接依赖	npm
file-uri-to-path	1.0.0	间接依赖	npm
degenerator	1.0.4	间接依赖	npm
ws	5.2.2	间接依赖	npm
minimatch	3.0.4	间接依赖	npm
argparse	1.0.10	间接依赖	npm
pac-proxy-agent	3.0.1	间接依赖	npm
concat-map	0.0.1	间接依赖	npm
agent-base	4.3.0	间接依赖	npm
tv4	1.3.0	间接依赖	npm
pidusage	2.0.17	间接依赖	npm
@pm2/agent	0.5.26	间接依赖	npm
pm2-axon	3.3.0	间接依赖	npm
get-uri	2.0.4	间接依赖	npm
charm	0.1.2	间接依赖	npm

SBOM 开源软件漏洞

赞 (0)

Gonzalo2310/awesome-nativescript-vue 软件分析报告

上一篇 2023年10月28日

goodnesskay/Laravel-Open-Source-Projects 软件分析报告

下一篇 2023年10月28日

alexazhou/VeryNginx 软件分析报告

基础信息项目名称：alexazhou/VeryNginx 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1715631789325467648/1715631789526794240 此报告由Murphysec提…

软件分析 2023年10月23日
00
kdzwinel/betwixt 软件分析报告

基础信息项目名称：kdzwinel/betwixt 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721333346788212736/1728594152805326848 此报告由Murphysec提供漏…

软件分析 2023年11月26日
00
zerosoul/github-star-stats 软件分析报告

基础信息项目名称：zerosoul/github-star-stats 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1720356707439259648/1720356712891854848 此报告由Mur…

软件分析 2023年11月3日
00
Andrewnetwork/WorkshopScipy 软件分析报告

基础信息项目名称：Andrewnetwork/WorkshopScipy 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1715814200253218816/1715814201121439744 此报告由Mu…

软件分析 2023年10月23日
00
borgbackup/borg 软件分析报告

基础信息项目名称：borgbackup/borg 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1731240047195676672/1731240047233425408 此报告由Murphysec提供漏洞…

软件分析 2023年12月3日
00