werthdavid/homebridge-weather 软件分析报告

2023年11月1日下午8:53 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：werthdavid/homebridge-weather

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1719695465998057472/1719695466031611904

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
Digital Bazaar Forge 存在输入验证错误漏洞	跨站重定向	MPS-2022-0421	CVE-2022-0122	中危
node-forge	原型污染	MPS-2022-13920		中危
node-forge 密码签名验证不当漏洞	密码学签名的验证不恰当	MPS-2022-3738	CVE-2022-24771	高危
node-forge 密码签名验证不当漏洞	密码学签名的验证不恰当	MPS-2022-3739	CVE-2022-24772	高危
node-forge 密码签名验证不当漏洞	密码学签名的验证不恰当	MPS-2022-3740	CVE-2022-24773	中危
Express 中的 qs 模块存在原型污染漏洞	原型污染	MPS-2022-3967	CVE-2022-24999	高危
http-cache-semantics 安全漏洞	ReDoS	MPS-2022-5164	CVE-2022-25881	高危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
node-forge	0.10.0	1.3.0	间接依赖	建议修复
qs	6.9.6	6.9.7	间接依赖	建议修复
http-cache-semantics	4.1.0	4.1.1	间接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
MIT	48	低
ISC	3	低
Apache-2.0	7	低
BSD-3-Clause	2	低
BSD-2-Clause	1	低
BSD	1	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
json-buffer	3.0.1	间接依赖	npm
yallist	4.0.0	间接依赖	npm
end-of-stream	1.4.4	间接依赖	npm
@types/cacheable-request	6.0.2	间接依赖	npm
bignumber.js	9.0.1	间接依赖	npm
@sindresorhus/is	4.6.0	间接依赖	npm
debug	2.6.9	间接依赖	npm
fast-text-encoding	1.0.3	间接依赖	npm
buffer-equal-constant-time	1.0.1	间接依赖	npm
wrappy	1.0.2	间接依赖	npm
compress-brotli	1.3.8	间接依赖	npm
jwa	2.0.0	间接依赖	npm
cacheable-lookup	5.0.4	间接依赖	npm
got	11.8.5	直接依赖	npm
defer-to-connect	2.0.1	间接依赖	npm
jws	4.0.0	间接依赖	npm
http-cache-semantics	4.1.0	间接依赖	npm
fakegato-history	0.6.1	直接依赖	npm
lowercase-keys	2.0.0	间接依赖	npm
cacheable-request	7.0.2	间接依赖	npm
@types/responselike	1.0.0	间接依赖	npm
google-auth-library	7.0.2	间接依赖	npm
googleapis	67.1.0	间接依赖	npm
once	1.4.0	间接依赖	npm
google-p12-pem	3.0.3	间接依赖	npm
gaxios	4.1.0	间接依赖	npm
normalize-url	6.1.0	间接依赖	npm
keyv	4.3.2	间接依赖	npm
safe-buffer	5.2.1	间接依赖	npm
pump	3.0.0	间接依赖	npm
whatwg-url	5.0.0	间接依赖	npm
node-fetch	2.6.7	间接依赖	npm
https-proxy-agent	5.0.0	间接依赖	npm
mimic-response	1.0.1	间接依赖	npm
clone-response	1.0.2	间接依赖	npm
abort-controller	3.0.0	间接依赖	npm
is-stream	2.0.0	间接依赖	npm
@szmarczak/http-timer	4.0.6	间接依赖	npm
@types/node	18.0.0	间接依赖	npm
quick-lru	5.1.1	间接依赖	npm
extend	3.0.2	间接依赖	npm
decompress-response	6.0.0	间接依赖	npm
agent-base	6.0.2	间接依赖	npm
@types/keyv	3.1.4	间接依赖	npm
get-stream	5.2.0	间接依赖	npm
@types/http-cache-semantics	4.0.1	间接依赖	npm
http2-wrapper	1.0.3	间接依赖	npm
p-cancelable	2.1.1	间接依赖	npm
url-template	2.0.8	间接依赖	npm
node-forge	0.10.0	间接依赖	npm
base64-js	1.5.1	间接依赖	npm
event-target-shim	5.0.1	间接依赖	npm
@types/json-buffer	3.0.0	间接依赖	npm
arrify	2.0.1	间接依赖	npm
googleapis-common	5.0.1	间接依赖	npm
ecdsa-sig-formatter	1.0.11	间接依赖	npm
ms	2.0.0	间接依赖	npm
gcp-metadata	4.2.1	间接依赖	npm
resolve-alpn	1.2.1	间接依赖	npm
lru-cache	6.0.0	间接依赖	npm
json-bigint	1.0.0	间接依赖	npm
responselike	2.0.0	间接依赖	npm
qs	6.9.6	间接依赖	npm
gtoken	5.2.1	间接依赖	npm

SBOM 开源软件漏洞

赞 (0)

werthdavid/homebridge-website-to-camera 软件分析报告

上一篇 2023年11月1日

WerWolv/EdiZon 软件分析报告

下一篇 2023年11月1日

avyou/CDN_dig 软件分析报告

基础信息项目名称：avyou/CDN_dig 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716130078593253376/1716130078631002112 此报告由Murphysec提供漏洞列表…

软件分析 2023年10月23日
00
alexgheorghiu/diagramo 软件分析报告

基础信息项目名称：alexgheorghiu/diagramo 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1715635260804087808/1715635261022191616 此报告由Murphys…

软件分析 2023年10月23日
00
puppeteer/puppeteer 软件分析报告

基础信息项目名称：puppeteer/puppeteer 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1751900077838573568/1751900115411148800 此报告由Murphysec提…

软件分析 2024年1月29日
00
bilibili-helper/bilibili-helper-o 软件分析报告

基础信息项目名称：bilibili-helper/bilibili-helper-o 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716325151305154560/1716325151347097600 …

软件分析 2023年10月23日
00
hcymysql/reverse_sql 软件分析报告

基础信息项目名称：hcymysql/reverse_sql 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1730060799487467520/1730060799923675136 此报告由Murphysec…

软件分析 2023年11月30日
00