基础信息
项目名称:aylei/kubectl-debug
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1722083047993946112/1722083048174301184
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| Docker 权限许可和访问控制漏洞 | 权限、特权和访问控制 | MPS-2014-3489 | CVE-2014-3499 | 高危 |
| Docker和docker-py 代码注入漏洞 | 已弃用:代码 | MPS-2014-7075 | CVE-2014-5277 | 中危 |
| Docker 权限许可和访问控制漏洞 | 在文件访问前对链接解析不恰当(链接跟随) | MPS-2014-7599 | CVE-2014-6407 | 高危 |
| Docker 权限许可和访问控制漏洞 | 权限、特权和访问控制 | MPS-2014-7656 | CVE-2014-9357 | 严重 |
| Docker 目录遍历漏洞 | 路径遍历 | MPS-2014-7657 | CVE-2014-9358 | 中危 |
| Libcontainer和Docker Engine 权限许可和访问控制漏洞 | 在文件访问前对链接解析不恰当(链接跟随) | MPS-2015-2409 | CVE-2015-3627 | 高危 |
| Docker Engine 权限许可和访问控制漏洞 | 权限、特权和访问控制 | MPS-2015-2412 | CVE-2015-3631 | 低危 |
| runc 操作系统命令注入漏洞 | OS命令注入 | MPS-2019-1548 | CVE-2019-5736 | 高危 |
| Docker 路径遍历漏洞 | 路径遍历 | MPS-2019-15720 | CVE-2014-9356 | 高危 |
| jwt-go 安全漏洞 | 授权检查缺失 | MPS-2020-13786 | CVE-2020-26160 | 高危 |
| runc containerd 安全漏洞 | 在范围间的资源转移不正确 | MPS-2020-16936 | CVE-2020-15257 | 中危 |
| Kubernetes API Server 资源管理错误漏洞 | 循环内过多的平台资源消耗 | MPS-2020-44793 | CVE-2019-11254 | 中危 |
| Kubernetes 中间人攻击漏洞 | 授权检查错误 | MPS-2021-0679 | CVE-2020-8554 | 中危 |
| Windows kube-proxy 安全漏洞 | MPS-2021-20878 | CVE-2021-25736 | 中危 | |
| kubernetes 路径遍历漏洞 | 对外部实体的文件或目录可访问 | MPS-2021-20883 | CVE-2021-25741 | 高危 |
| gopkg.in/yaml.v2 存在拒绝服务漏洞 | 拒绝服务 | MPS-2022-13505 | 中危 | |
| k8s.io/kubernetes 存在代码注入漏洞 | 代码注入 | MPS-2022-13512 | 高危 | |
| containerd CRI stream server 存在拒绝服务漏洞 | 拒绝服务 | MPS-2022-1898 | CVE-2022-23471 | 中危 |
| Go-Yaml 安全漏洞 | MPS-2022-52765 | CVE-2021-4235 | 中危 | |
| Google Golang 资源管理错误漏洞 | MPS-2022-58307 | CVE-2022-41723 | 高危 | |
| Go-Yaml 资源管理错误漏洞 | 拒绝服务 | MPS-2022-69639 | CVE-2022-3064 | 高危 |
| runc 权限许可和访问控制问题漏洞 | 缺省权限不正确 | MPS-2022-8563 | CVE-2022-29162 | 高危 |
| Google Go 权限许可和访问控制问题漏洞 | 权限管理不当 | MPS-2022-9049 | CVE-2022-29526 | 中危 |
| containerd 安全漏洞 | 不加限制或调节的资源分配 | MPS-2023-3769 | CVE-2023-25153 | 中危 |
| containerd容器内文件权限机制实现不当 | 将用户置入不正确的用户组 | MPS-2023-3789 | CVE-2023-25173 | 中危 |
| runc | 访问控制不当 | MPS-2023-8507 | CVE-2023-28642 | 高危 |
| Google Golang 资源管理错误漏洞 | 拒绝服务 | MPS-c8am-hbny | CVE-2023-39325 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| github.com/dgrijalva/jwt-go | v3.2.0+incompatible | 4.0.0-preview1 | 直接依赖 | 建议修复 |
| github.com/docker/docker | v0.0.0-20171023200535-7848b8beb9d3 | 1.6.1 | 直接依赖 | 建议修复 |
| k8s.io/kubernetes | v1.13.1 | 直接依赖 | 建议修复 | |
| gopkg.in/yaml.v2 | v2.2.2 | 2.2.8 | 直接依赖 | 建议修复 |
| github.com/containerd/containerd | v1.3.3 | 1.5.18 | 直接依赖 | 建议修复 |
| golang.org/x/net | v0.0.0-20190628185345-da137c7871d7 | 0.17.0 | 直接依赖 | 建议修复 |
| github.com/opencontainers/runc | v0.1.1 | 1.1.5 | 间接依赖 | 建议修复 |
| golang.org/x/sys | v0.0.0-20200120151820-655fe14d7479 | 0.1.0 | 直接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| Apache-2.0 | 52 | 低 |
| BSD-3-Clause | 19 | 低 |
| MIT | 17 | 低 |
| BSD-2-Clause | 3 | 低 |
| CC-BY-SA-4.0 | 2 | 中 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| github.com/opencontainers/image-spec | v1.0.1 | 直接依赖 | go |
| github.com/imdario/mergo | v0.3.6 | 直接依赖 | go |
| github.com/shurcooL/sanitized_anchor_name | v1.0.0 | 直接依赖 | go |
| github.com/containerd/continuity | v0.0.0-20200413184840-d3ef23f19fbb | 间接依赖 | go |
| github.com/containerd/typeurl | v1.0.0 | 直接依赖 | go |
| k8s.io/client-go | v0.0.0-20190228174230-b40b2a5939e4 | 直接依赖 | go |
| github.com/containerd/console | v1.0.0 | 间接依赖 | go |
| github.com/dgrijalva/jwt-go | v3.2.0+incompatible | 直接依赖 | go |
| k8s.io/apimachinery | v0.0.0-20190221213512-86fb29eff628 | 直接依赖 | go |
| k8s.io/utils | v0.0.0-20181115163542-0d26856f57b3 | 直接依赖 | go |
| golang.org/x/oauth2 | v0.0.0-20190604053449-0f29369cfe45 | 直接依赖 | go |
| github.com/beorn7/perks | v0.0.0-20180321164747-3a771d992973 | 直接依赖 | go |
| github.com/spf13/pflag | v1.0.3 | 直接依赖 | go |
| contrib.go.opencensus.io/exporter/ocagent | v0.6.0 | 直接依赖 | go |
| github.com/docker/go-units | v0.4.0 | 直接依赖 | go |
| github.com/russross/blackfriday | v0.0.0-20151117072312-300106c228d5 | 直接依赖 | go |
| github.com/googleapis/gnostic | v0.2.0 | 直接依赖 | go |
| github.com/go-openapi/jsonpointer | v0.19.0 | 直接依赖 | go |
| github.com/peterbourgon/diskv | v2.0.1+incompatible | 直接依赖 | go |
| github.com/urfave/cli | v1.22.4 | 间接依赖 | go |
| github.com/opencontainers/runc | v0.1.1 | 间接依赖 | go |
| github.com/gregjones/httpcache | v0.0.0-20181110185634-c63ab54fda8f | 直接依赖 | go |
| github.com/docker/go-events | v0.0.0-20190806004212-e31b211e4f1c | 间接依赖 | go |
| github.com/containerd/fifo | v0.0.0-20200410184934-f15a3290365b | 间接依赖 | go |
| gopkg.in/yaml.v2 | v2.2.2 | 直接依赖 | go |
| github.com/opencontainers/go-digest | v1.0.0-rc1 | 直接依赖 | go |
| github.com/exponent-io/jsonpath | v0.0.0-20151013193312-d6023ce2651d | 直接依赖 | go |
| github.com/Microsoft/go-winio | v0.4.11 | 直接依赖 | go |
| github.com/pborman/uuid | v0.0.0-20180906182336-adf5a7427709 | 直接依赖 | go |
| golang.org/x/sync | v0.0.0-20190423024810-112230192c58 | 直接依赖 | go |
| github.com/prometheus/procfs | v0.0.0-20181204211112-1dc9a6cbc91a | 直接依赖 | go |
| github.com/containerd/containerd | v1.3.3 | 直接依赖 | go |
| github.com/prometheus/common | v0.0.0-20181218105931-67670fe90761 | 直接依赖 | go |
| golang.org/x/sys | v0.0.0-20200120151820-655fe14d7479 | 直接依赖 | go |
| github.com/go-openapi/jsonreference | v0.19.0 | 直接依赖 | go |
| github.com/Nvveen/Gotty | v0.0.0-20120604004816-cd527374f1e5 | 直接依赖 | go |
| github.com/google/gofuzz | v0.0.0-20170612174753-24818f796faf | 直接依赖 | go |
| google.golang.org/grpc | v1.22.0 | 直接依赖 | go |
| github.com/go-openapi/swag | v0.19.0 | 直接依赖 | go |
| github.com/spf13/cobra | v0.0.3 | 直接依赖 | go |
| github.com/Azure/go-ansiterm | v0.0.0-20170929234023-d6e3b3328b78 | 直接依赖 | go |
| github.com/pkg/errors | v0.9.1 | 直接依赖 | go |
| go.opencensus.io | v0.22.0 | 直接依赖 | go |
| google.golang.org/api | v0.7.0 | 直接依赖 | go |
| k8s.io/kubernetes | v1.13.1 | 直接依赖 | go |
| github.com/syndtr/gocapability | v0.0.0-20180916011248-d98352740cb2 | 间接依赖 | go |
| k8s.io/apiserver | v0.0.0-20181220070914-ce7b605bead3 | 直接依赖 | go |
| github.com/docker/go-connections | v0.4.0 | 直接依赖 | go |
| github.com/golang/protobuf | v1.3.2 | 直接依赖 | go |
| github.com/PuerkitoBio/purell | v1.1.1 | 直接依赖 | go |
| github.com/MakeNowJust/heredoc | v0.0.0-20171113091838-e9091a26100e | 直接依赖 | go |
| github.com/google/uuid | v1.1.1 | 直接依赖 | go |
| github.com/modern-go/concurrent | v0.0.0-20180306012644-bacd9c7ef1dd | 直接依赖 | go |
| github.com/matttproud/golang_protobuf_extensions | v1.0.1 | 直接依赖 | go |
| github.com/mailru/easyjson | v0.0.0-20190312143242-1de009706dbe | 直接依赖 | go |
| k8s.io/cli-runtime | v0.0.0-20190228180923-a9e421a79326 | 直接依赖 | go |
| github.com/containerd/cgroups | v0.0.0-20200407151229-7fc7a507c04c | 间接依赖 | go |
| golang.org/x/crypto | v0.0.0-20190308221718-c2843e01d9a2 | 直接依赖 | go |
| github.com/gophercloud/gophercloud | v0.0.0-20181221023737-94924357ebf6 | 直接依赖 | go |
| github.com/gogo/protobuf | v1.3.1 | 直接依赖 | go |
| github.com/petar/GoLLRB | v0.0.0-20130427215148-53be0d36a84c | 直接依赖 | go |
| github.com/mitchellh/go-wordwrap | v1.0.0 | 直接依赖 | go |
| golang.org/x/net | v0.0.0-20190628185345-da137c7871d7 | 直接依赖 | go |
| k8s.io/klog | v0.1.0 | 直接依赖 | go |
| gopkg.in/inf.v0 | v0.9.1 | 直接依赖 | go |
| golang.org/x/time | v0.0.0-20181108054448-85acf8d2951c | 直接依赖 | go |
| k8s.io/api | v0.0.0-20181130031204-d04500c8c3dd | 直接依赖 | go |
| github.com/go-openapi/spec | v0.19.0 | 直接依赖 | go |
| github.com/PuerkitoBio/urlesc | v0.0.0-20170810143723-de5bf2ad4578 | 直接依赖 | go |
| cloud.google.com/go | v0.38.0 | 直接依赖 | go |
| sigs.k8s.io/yaml | v1.1.0 | 直接依赖 | go |
| github.com/prometheus/client_model | v0.0.0-20180712105110-5c3871d89910 | 直接依赖 | go |
| github.com/opencontainers/runtime-spec | v1.0.2 | 直接依赖 | go |
| github.com/prometheus/client_golang | v0.9.2 | 直接依赖 | go |
| github.com/evanphx/json-patch | v4.1.0+incompatible | 直接依赖 | go |
| github.com/gogo/googleapis | v1.3.2 | 间接依赖 | go |
| github.com/google/btree | v1.0.0 | 直接依赖 | go |
| github.com/docker/distribution | v2.7.1-0.20190205005809-0d3efadf0154+incompatible | 直接依赖 | go |
| golang.org/x/text | v0.3.2 | 直接依赖 | go |
| k8s.io/kube-openapi | v0.0.0-20190320154901-5e45bb682580 | 直接依赖 | go |
| google.golang.org/appengine | v1.5.0 | 直接依赖 | go |
| github.com/Azure/go-autorest | v11.2.8+incompatible | 直接依赖 | go |
| github.com/docker/spdystream | v0.0.0-20181023171402-6480d4af844c | 直接依赖 | go |
| github.com/inconshreveable/mousetrap | v1.0.0 | 直接依赖 | go |
| github.com/sirupsen/logrus | v1.4.2 | 直接依赖 | go |
| github.com/containerd/ttrpc | v1.0.0 | 间接依赖 | go |
| github.com/konsorten/go-windows-terminal-sequences | v1.0.2 | 直接依赖 | go |
| github.com/census-instrumentation/opencensus-proto | v0.2.1 | 直接依赖 | go |
| github.com/docker/docker | v0.0.0-20171023200535-7848b8beb9d3 | 直接依赖 | go |
| google.golang.org/genproto | v0.0.0-20190716160619-c506a9f90610 | 直接依赖 | go |
| github.com/json-iterator/go | v1.1.5 | 直接依赖 | go |
| github.com/modern-go/reflect2 | v0.0.0-20180701023420-4b7aa43c6742 | 直接依赖 | go |