基础信息
项目名称:zhy0216/OhMyPocket
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1720399695750148096/1720399695787896832
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| Requests 安全漏洞 | 会话固定 | MPS-2015-1456 | CVE-2015-2296 | 中危 |
| Python Cryptography Toolkit 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2017-1671 | CVE-2013-7459 | 严重 |
| Paramiko SSH server 访问控制错误漏洞 | 授权检查错误 | MPS-2018-13227 | CVE-2018-1000805 | 高危 |
| Python 信任管理问题漏洞 | 凭证保护不足 | MPS-2018-13292 | CVE-2018-18074 | 高危 |
| PyCrypto 安全漏洞 | 加密强度不足 | MPS-2018-1371 | CVE-2018-6594 | 高危 |
| lxml 跨站脚本漏洞 | XSS | MPS-2018-15340 | CVE-2018-19787 | 中危 |
| Paramiko SSH服务器实现授权问题漏洞 | 身份验证不当 | MPS-2018-3115 | CVE-2018-7750 | 严重 |
| gunicorn 安全漏洞 | CRLF注入 | MPS-2018-5036 | CVE-2018-1000164 | 高危 |
| python-ecdsa 安全漏洞 | 对异常条件的处理不恰当 | MPS-2019-15507 | CVE-2019-14853 | 高危 |
| python-ecdsa 数据伪造问题漏洞 | 密码学签名的验证不恰当 | MPS-2020-0018 | CVE-2019-14859 | 严重 |
| Lxml 跨站脚本漏洞 | XSS | MPS-2020-17664 | CVE-2020-27783 | 中危 |
| Lxml 跨站脚本漏洞 | XSS | MPS-2021-3272 | CVE-2021-28957 | 中危 |
| lxml 注入漏洞 | XSS | MPS-2021-36943 | CVE-2021-43818 | 高危 |
| UltraJSON 安全漏洞 | 越界写入 | MPS-2021-40089 | CVE-2021-45958 | 中危 |
| UltraJSON 安全漏洞 | 控制流实现总是不正确 | MPS-2022-11146 | CVE-2022-31116 | 高危 |
| UltraJSON 资源管理错误漏洞 | 双重释放 | MPS-2022-11147 | CVE-2022-31117 | 中危 |
| ecdsa 存在竞争条件漏洞 | 竞争条件 | MPS-2022-14890 | 中危 | |
| gevent 存在信息暴露漏洞 | 未授权敏感信息泄露 | MPS-2022-14926 | 中危 | |
| gunicorn 存在输入验证不恰当漏洞 | 输入验证不恰当 | MPS-2022-14934 | 低危 | |
| gunicorn 存在HTTP请求的解释不一致性(HTTP请求私运)漏洞 | HTTP请求走私 | MPS-2022-14935 | 中危 | |
| lxml 存在路径遍历漏洞 | 路径遍历 | MPS-2022-14974 | 中危 | |
| Django Trunc和Extract方法存在 SQL 注入漏洞 | SQL注入 | MPS-2022-19581 | CVE-2022-34265 | 高危 |
| Paramiko 竞争条件问题漏洞 | 竞争条件 | MPS-2022-3207 | CVE-2022-24302 | 中危 |
| lxml 和 libxml2 代码问题漏洞 | 空指针取消引用 | MPS-2022-46661 | CVE-2022-2309 | 高危 |
| redis-py 存在信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2023-8854 | CVE-2023-28858 | 中危 |
| redis-py 存在信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2023-8855 | CVE-2023-28859 | 中危 |
| Gevent 安全漏洞 | MPS-d183-ymbv | CVE-2023-41419 | 严重 | |
| Requests Proxy-Authorization 标头泄露漏洞 | 未授权敏感信息泄露 | MPS-hr61-tzey | CVE-2023-32681 | 中危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| paramiko | 1.15.2 | 2.10.1 | 间接依赖 | 强烈建议修复 |
| requests | 2.3.0 | 2.31.0 | 间接依赖 | 建议修复 |
| ujson | 1.33 | 间接依赖 | 建议修复 | |
| pycrypto | 2.6.1 | 间接依赖 | 建议修复 | |
| lxml | 3.4.4 | 4.9.1 | 间接依赖 | 建议修复 |
| Django | 1.8 | 3.2.23 | 间接依赖 | 建议修复 |
| ecdsa | 0.13 | 0.14 | 间接依赖 | 建议修复 |
| gunicorn | 19.3.0 | 19.10.0 | 间接依赖 | 建议修复 |
| redis | 2.10.1 | 4.5.3 | 间接依赖 | 可选修复 |
| gevent | 1.0.1 | 23.9.0 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| Apache-2.0 | 6 | 低 |
| MIT | 14 | 低 |
| BSD-3-Clause | 7 | 低 |
| HPND | 1 | 低 |
| 自定义许可证 | 8 | 低 |
| GPL-1.0-or-later | 1 | 低 |
| LGPL-3.0 | 1 | 中 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| Whoosh | 2.7.0 | 间接依赖 | pip |
| python-dateutil | 2.4.2 | 间接依赖 | pip |
| pathtools | 0.1.2 | 间接依赖 | pip |
| itsdangerous | 0.24 | 间接依赖 | pip |
| Pillow | 2.5.1 | 间接依赖 | pip |
| Flask | 0.10.1 | 间接依赖 | pip |
| Jinja2 | 2.7.3 | 间接依赖 | pip |
| watchdog | 0.8.3 | 间接依赖 | pip |
| pytz | 2014.4 | 间接依赖 | pip |
| readability-lxml | 0.5 | 间接依赖 | pip |
| django | 间接依赖 | pip | |
| Werkzeug | 0.9.6 | 间接依赖 | pip |
| jieba | 0.36.2 | 间接依赖 | pip |
| q | 间接依赖 | pip | |
| Django | 1.8 | 间接依赖 | pip |
| django-extensions | 1.5.2 | 间接依赖 | pip |
| arrow | 0.5.4 | 间接依赖 | pip |
| requests | 2.3.0 | 间接依赖 | pip |
| MySQL-python | 1.2.5 | 间接依赖 | pip |
| six | 1.9.0 | 间接依赖 | pip |
| wsgiref | 0.1.2 | 间接依赖 | pip |
| MarkupSafe | 0.23 | 间接依赖 | pip |
| paramiko | 1.15.2 | 间接依赖 | pip |
| easy-thumbnails | 2.0.1 | 间接依赖 | pip |
| PyYAML | 3.11 | 间接依赖 | pip |
| beautifulsoup4 | 4.3.2 | 间接依赖 | pip |
| cssselect | 0.9.1 | 间接依赖 | pip |
| ecdsa | 0.13 | 间接依赖 | pip |
| greenlet | 0.4.2 | 间接依赖 | pip |
| html2text | 2014.7.3 | 间接依赖 | pip |
| ujson | 1.33 | 间接依赖 | pip |
| pyquery | 1.2.8 | 间接依赖 | pip |
| to_json | 间接依赖 | pip | |
| Fabric | 1.10.1 | 间接依赖 | pip |
| rq | 0.4.6 | 间接依赖 | pip |
| urljoin | 间接依赖 | pip | |
| rq-dashboard | 0.3.4 | 间接依赖 | pip |
| lxml | 3.4.4 | 间接依赖 | pip |
| argh | 0.26.1 | 间接依赖 | pip |
| redis | 2.10.1 | 间接依赖 | pip |
| gunicorn | 19.3.0 | 间接依赖 | pip |
| urlparse | 间接依赖 | pip | |
| pycrypto | 2.6.1 | 间接依赖 | pip |
| times | 0.7 | 间接依赖 | pip |
| gevent | 1.0.1 | 间接依赖 | pip |
| simplejson | 3.6.5 | 间接依赖 | pip |
| chardet | 2.3.0 | 间接依赖 | pip |
| dev_requirements.txt | 间接依赖 | pip |