基础信息
项目名称:ARMmbed/mbedtls
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1720718823011975168/1720718823276216320
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| Google Mozilla NSS pkcs11.txt 文件不可信搜索路径漏洞 | 不可信的搜索路径 | MPS-2011-3488 | CVE-2011-3640 | 高危 |
| Mozilla Network Security Services 安全漏洞 | 输入验证不恰当 | MPS-2012-1903 | CVE-2011-5094 | 中危 |
| 多个TLS/DTLS实现加密问题漏洞 | 密码学问题 | MPS-2013-0546 | CVE-2013-0169 | 低危 |
| Mozilla Network Security Services TLS实现加密问题漏洞 | 通过差异性导致的信息暴露 | MPS-2013-0549 | CVE-2013-1620 | 中危 |
| TLS/SSL协议 RC4算法加密问题漏洞 | 加密强度不足 | MPS-2013-1069 | CVE-2013-2566 | 中危 |
| Mozilla Firefox/Thunderbird/SeaMonkey NSS 拒绝服务漏洞 | 缓冲区溢出 | MPS-2013-1302 | CVE-2013-0791 | 中危 |
| Mozilla Network Security Services 加密问题漏洞 | 密码学问题 | MPS-2014-0337 | CVE-2013-1740 | 中危 |
| Mozilla Network Security Services 竞争条件漏洞 | 竞争条件 | MPS-2014-0641 | CVE-2014-1490 | 严重 |
| OpenSSL 存在DROWN攻击漏洞 | 密码学问题 | MPS-2014-5713 | CVE-2014-3566 | 低危 |
| RC4 加密问题漏洞 | 密码算法不安全 | MPS-2015-1654 | CVE-2015-2808 | 中危 |
| OpenSSL 存在 Logjam 漏洞 | 密码学问题 | MPS-2015-2457 | CVE-2015-4000 | 低危 |
| Oracle Java SE和Java SE Embedded JCE子组件安全漏洞 | 不恰当实现的标准安全检查 | MPS-2015-3503 | CVE-2015-2613 | 中危 |
| Mozilla Firefox和Firefox ESR Network Security Services 权限许可和访问控制漏洞 | 数据处理错误 | MPS-2016-0169 | CVE-2015-7575 | 中危 |
| Mozilla Firefox Network Security Services 安全漏洞 | 密码学问题 | MPS-2016-0659 | CVE-2016-1938 | 中危 |
| Mozilla Network Security Services 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2017-14508 | CVE-2017-11695 | 高危 |
| Mozilla Network Security Services 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2017-14509 | CVE-2017-11696 | 高危 |
| Mozilla Network Security Services 安全漏洞 | 缓冲区溢出 | MPS-2017-14510 | CVE-2017-11697 | 高危 |
| Mozilla Network Security Services 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2017-14511 | CVE-2017-11698 | 高危 |
| NSS 代码问题漏洞 | 空指针取消引用 | MPS-2017-5991 | CVE-2017-7502 | 高危 |
| Red Hat Network Security Services 安全漏洞 | 会话固定 | MPS-2018-10079 | CVE-2016-9574 | 中危 |
| Mozilla Network Security Services 安全绕过漏洞 | 未授权敏感信息泄露 | MPS-2018-7611 | CVE-2016-9074 | 中危 |
| Mozilla Firefox 安全漏洞 | 数值类型间的不正确转换 | MPS-2018-7749 | CVE-2017-7781 | 中危 |
| Mozilla Firefox、Firefox ESR和Thunderbird 安全漏洞 | UAF | MPS-2018-7772 | CVE-2017-7805 | 高危 |
| NSS安全特征问题漏洞 | PRNG种子错误 | MPS-2019-4655 | CVE-2018-12384 | 中危 |
| Slackware mozilla-nss 加密问题漏洞 | 未授权敏感信息泄露 | MPS-2019-4770 | CVE-2018-12404 | 中危 |
| Mozilla Firefox 信任管理问题漏洞 | 证书验证不恰当 | MPS-2019-8367 | CVE-2019-11727 | 中危 |
| Mozilla Network Security Services 信息泄露漏洞 | 通过差异性导致的信息暴露 | MPS-2020-14079 | CVE-2020-12400 | 中危 |
| Amazon Linux AMI 加密问题漏洞 | 通过差异性导致的信息暴露 | MPS-2020-14080 | CVE-2020-12401 | 中危 |
| Network Security Services 代码问题漏洞 | 空指针取消引用 | MPS-2020-15037 | CVE-2018-18508 | 中危 |
| Mozilla Network Security Services 安全漏洞 | 密码算法不安全 | MPS-2020-15243 | CVE-2020-6829 | 中危 |
| Mozilla NSS 安全漏洞 | 不加限制或调节的资源分配 | MPS-2020-15755 | CVE-2020-25648 | 高危 |
| Mozilla Firefox 信息泄露漏洞 | 通过差异性导致的信息暴露 | MPS-2020-25206 | CVE-2020-12413 | 中危 |
| Mozilla Network Security Services 缓冲区错误漏洞 | 越界写入 | MPS-2021-35347 | CVE-2021-43527 | 严重 |
| Mozilla Network Security Services 缓冲区错误漏洞 | 越界读取 | MPS-2021-7607 | CVE-2020-12403 | 严重 |
| Mozilla Firefox 信任管理问题漏洞 | 证书验证不恰当 | MPS-2022-0728 | CVE-2022-22747 | 中危 |
| Certifi 存在数据真实性验证不充分漏洞 | 对数据真实性的验证不充分 | MPS-2022-1918 | CVE-2022-23491 | 中危 |
| Matthäus G. Chajdas pygments 代码问题漏洞 | 任意文件上传 | MPS-2022-57237 | CVE-2022-40896 | 中危 |
| NSS 安全漏洞 | 输入验证不恰当 | MPS-2022-59754 | CVE-2022-3479 | 高危 |
| Mozilla NSS 资源管理错误漏洞 | UAF | MPS-2022-6837 | CVE-2022-1097 | 中危 |
| Mozilla Firefox 安全漏洞 | MPS-2023-4397 | CVE-2023-0767 | 高危 | |
| urllib3 安全漏洞 | MPS-46py-nxai | CVE-2023-45803 | 中危 | |
| PyPI仓库charset-normalizer组件包内嵌恶意代码 | 内嵌恶意代码 | MPS-67h0-j1fr | 高危 | |
| Certifi 数据伪造问题漏洞 | 对数据真实性的验证不充分 | MPS-ck78-r6zg | CVE-2023-37920 | 严重 |
| Requests Proxy-Authorization 标头泄露漏洞 | 未授权敏感信息泄露 | MPS-hr61-tzey | CVE-2023-32681 | 中危 |
| urllib3 HTTP重定向信息泄露漏洞 | 未授权敏感信息泄露 | MPS-s0oy-afbw | CVE-2023-43804 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| charset-normalizer | 3.1.0 | 间接依赖 | 强烈建议修复 | |
| nss | 3.72 | 间接依赖 | 建议修复 | |
| certifi | 2022.12.7 | 2023.7.22 | 间接依赖 | 建议修复 |
| requests | 2.28.2 | 2.31.0 | 间接依赖 | 建议修复 |
| urllib3 | 1.26.15 | 1.26.18 | 间接依赖 | 建议修复 |
| pygments | 2.14.0 | 2.15.0 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| MIT | 7 | 低 |
| 自定义许可证 | 10 | 低 |
| BSD-2-Clause | 2 | 低 |
| MPL-2.0 | 2 | 低 |
| BSD-3-Clause | 2 | 低 |
| Apache-2.0 | 1 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| charset-normalizer | 3.1.0 | 间接依赖 | pip |
| pygments | 2.14.0 | 间接依赖 | pip |
| jinja2 | 3.1.2 | 间接依赖 | pip |
| idna | 3.4 | 间接依赖 | pip |
| mdurl | 0.1.2 | 间接依赖 | pip |
| markdown-it-py | 2.2.0 | 间接依赖 | pip |
| sphinx | 4.5.0 | 间接依赖 | pip |
| importlib-metadata | 6.0.0 | 间接依赖 | pip |
| sphinxcontrib-devhelp | 1.0.2 | 间接依赖 | pip |
| sphinxcontrib-jquery | 2.0.0 | 间接依赖 | pip |
| sphinx-rtd-theme | 1.2.0 | 间接依赖 | pip |
| sphinxcontrib-htmlhelp | 2.0.1 | 间接依赖 | pip |
| certifi | 2022.12.7 | 间接依赖 | pip |
| breathe | 4.35.0 | 间接依赖 | pip |
| snowballstemmer | 2.2.0 | 间接依赖 | pip |
| urllib3 | 1.26.15 | 间接依赖 | pip |
| requests | 2.28.2 | 间接依赖 | pip |
| packaging | 23.0 | 间接依赖 | pip |
| pyyaml | 6.0 | 间接依赖 | pip |
| nss | 间接依赖 | ||
| sphinxcontrib-qthelp | 1.0.3 | 间接依赖 | pip |
| sphinxcontrib-serializinghtml | 1.1.5 | 间接依赖 | pip |
| sphinxcontrib-jsmath | 1.0.1 | 间接依赖 | pip |
| zipp | 3.15.0 | 间接依赖 | pip |
| imagesize | 1.4.1 | 间接依赖 | pip |
| readthedocs-cli | 4 | 间接依赖 | pip |
| markupsafe | 2.1.2 | 间接依赖 | pip |
| alabaster | 0.7.13 | 间接依赖 | pip |
| click | 8.1.3 | 间接依赖 | pip |
| babel | 2.12.1 | 间接依赖 | pip |
| rich | 13.3.5 | 间接依赖 | pip |
| nss | 3.72 | 间接依赖 | |
| docutils | 0.17.1 | 间接依赖 | pip |
| sphinxcontrib-applehelp | 1.0.4 | 间接依赖 | pip |