基础信息
项目名称:joonspk-research/generative_agents
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1719254340031266816/1719254343483179008
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| NumPy 代码问题漏洞 | 空指针取消引用 | MPS-2021-32278 | CVE-2021-41495 | 中危 |
| nltk 安全漏洞 | ReDoS | MPS-2021-32644 | CVE-2021-3842 | 高危 |
| Natural Language Toolkit 资源管理错误漏洞 | 拒绝服务 | MPS-2021-36979 | CVE-2021-43854 | 高危 |
| django-cors-headers 存在输入验证不恰当漏洞 | 输入验证不恰当 | MPS-2022-14839 | 低危 | |
| Certifi 存在数据真实性验证不充分漏洞 | 对数据真实性的验证不充分 | MPS-2022-1918 | CVE-2022-23491 | 中危 |
| Django Trunc和Extract方法存在 SQL 注入漏洞 | SQL注入 | MPS-2022-19581 | CVE-2022-34265 | 高危 |
| urllib3 安全漏洞 | MPS-46py-nxai | CVE-2023-45803 | 中危 | |
| PyPI仓库selenium组件包内嵌恶意代码 | 内嵌恶意代码 | MPS-52me-b76a | 高危 | |
| PyPI仓库charset-normalizer组件包内嵌恶意代码 | 内嵌恶意代码 | MPS-67h0-j1fr | 高危 | |
| Certifi 数据伪造问题漏洞 | 对数据真实性的验证不充分 | MPS-ck78-r6zg | CVE-2023-37920 | 严重 |
| Requests Proxy-Authorization 标头泄露漏洞 | 未授权敏感信息泄露 | MPS-hr61-tzey | CVE-2023-32681 | 中危 |
| aiohttp 环境问题漏洞 | HTTP请求走私 | MPS-ptqs-e23v | CVE-2023-37276 | 高危 |
| urllib3 HTTP重定向信息泄露漏洞 | 未授权敏感信息泄露 | MPS-s0oy-afbw | CVE-2023-43804 | 高危 |
| sqlparse 安全漏洞 | ReDoS | MPS-zs9l-yk45 | CVE-2023-30608 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| selenium | 4.8.2 | 间接依赖 | 强烈建议修复 | |
| charset-normalizer | 2.0.12 | 间接依赖 | 强烈建议修复 | |
| urllib3 | 1.26.7 | 1.26.18 | 间接依赖 | 建议修复 |
| sqlparse | 0.4.3 | 0.4.4 | 间接依赖 | 建议修复 |
| nltk | 3.6.5 | 3.6.6 | 间接依赖 | 建议修复 |
| Django | 2.2 | 3.2.20 | 间接依赖 | 建议修复 |
| certifi | 2021.10.8 | 2023.7.22 | 间接依赖 | 建议修复 |
| requests | 2.26.0 | 2.31.0 | 间接依赖 | 建议修复 |
| aiohttp | 3.8.3 | 3.8.5 | 间接依赖 | 建议修复 |
| numpy | 1.25.2 | 间接依赖 | 可选修复 | |
| django-cors-headers | 2.5.3 | 3.0.0 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| MIT | 15 | 低 |
| Apache-2.0 | 15 | 低 |
| 自定义许可证 | 16 | 低 |
| Apache-2.0 OR MIT | 3 | 低 |
| BSD-3-Clause | 8 | 低 |
| MPL-2.0 | 1 | 低 |
| HPND | 1 | 低 |
| LGPL-2.1-only | 1 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| django-cors-headers | 2.5.3 | 间接依赖 | pip |
| urllib3 | 1.26.7 | 间接依赖 | pip |
| storages | 间接依赖 | pip | |
| typing-extensions | 4.0.0 | 间接依赖 | pip |
| requests | 2.26.0 | 间接依赖 | pip |
| idna | 3.3 | 间接依赖 | pip |
| scipy | 1.11.1 | 间接依赖 | pip |
| sklearn | 0.0 | 间接依赖 | pip |
| joblib | 1.1.1 | 间接依赖 | pip |
| outcome | 1.2.0 | 间接依赖 | pip |
| async-generator | 1.10 | 间接依赖 | pip |
| aiosignal | 1.3.1 | 间接依赖 | pip |
| scikit-posthocs | 0.7.0 | 间接依赖 | pip |
| smart-open | 5.2.1 | 间接依赖 | pip |
| sortedcontainers | 2.4.0 | 间接依赖 | pip |
| nltk | 3.6.5 | 间接依赖 | pip |
| aiohttp | 3.8.3 | 间接依赖 | pip |
| botocore | 1.29.43 | 间接依赖 | pip |
| selenium | 4.8.2 | 间接依赖 | pip |
| wsproto | 1.2.0 | 间接依赖 | pip |
| yellowbrick | 1.5 | 间接依赖 | pip |
| PySocks | 1.7.1 | 间接依赖 | pip |
| yarl | 1.8.2 | 间接依赖 | pip |
| django-storages-redux | 1.3.3 | 间接依赖 | pip |
| regex | 2021.11.10 | 间接依赖 | pip |
| pycparser | 2.21 | 间接依赖 | pip |
| cycler | 0.11.0 | 间接依赖 | pip |
| matplotlib | 3.7.2 | 间接依赖 | pip |
| seaborn | 0.12.2 | 间接依赖 | pip |
| dj-database-url | 0.5.0 | 间接依赖 | pip |
| importlib-metadata | 4.8.2 | 间接依赖 | pip |
| psycopg2-binary | 2.9.5 | 间接依赖 | pip |
| certifi | 2021.10.8 | 间接依赖 | pip |
| sniffio | 1.3.0 | 间接依赖 | pip |
| threadpoolctl | 3.0.0 | 间接依赖 | pip |
| multidict | 6.0.4 | 间接依赖 | pip |
| asgiref | 3.5.2 | 间接依赖 | pip |
| attrs | 22.2.0 | 间接依赖 | pip |
| frozenlist | 1.3.3 | 间接依赖 | pip |
| click | 8.0.3 | 间接依赖 | pip |
| Pillow | 8.4.0 | 间接依赖 | pip |
| kiwisolver | 1.4.4 | 间接依赖 | pip |
| boto | 2.49.0 | 间接依赖 | pip |
| numpy | 1.25.2 | 间接依赖 | pip |
| django | 间接依赖 | pip | |
| pyparsing | 3.0.6 | 间接依赖 | pip |
| trio-websocket | 0.9.2 | 间接依赖 | pip |
| patsy | 0.5.3 | 间接依赖 | pip |
| openai | 0.27.0 | 间接依赖 | pip |
| trio | 0.22.0 | 间接依赖 | pip |
| exceptiongroup | 1.1.0 | 间接依赖 | pip |
| charset-normalizer | 2.0.12 | 间接依赖 | pip |
| pandas | 2.0.3 | 间接依赖 | pip |
| packaging | 23.0 | 间接依赖 | pip |
| gensim | 3.8.0 | 间接依赖 | pip |
| jmespath | 1.0.1 | 间接依赖 | pip |
| Django | 2.2 | 间接依赖 | pip |
| sqlparse | 0.4.3 | 间接依赖 | pip |
| pytz | 2021.3 | 间接依赖 | pip |
| gunicorn | 20.1.0 | 间接依赖 | pip |
| trueskill | 0.4.5 | 间接依赖 | pip |
| python-dateutil | 2.8.2 | 间接依赖 | pip |
| scikit-learn | 1.3.0 | 间接依赖 | pip |
| h11 | 0.14.0 | 间接依赖 | pip |
| tqdm | 4.62.3 | 间接依赖 | pip |
| async-timeout | 4.0.2 | 间接依赖 | pip |
| statsmodels | 0.13.5 | 间接依赖 | pip |
| six | 1.16.0 | 间接依赖 | pip |
| zipp | 3.6.0 | 间接依赖 | pip |
| s3transfer | 0.6.0 | 间接依赖 | pip |