caicloud/nirvana 软件分析报告

2023年11月8日下午11:41 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：caicloud/nirvana

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1722278037093265408/1722278037156179968

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
jwt-go 安全漏洞	授权检查缺失	MPS-2020-13786	CVE-2020-26160	高危
Kubernetes API Server 资源管理错误漏洞	循环内过多的平台资源消耗	MPS-2020-44793	CVE-2019-11254	中危
Google Golang 资源管理错误漏洞		MPS-2022-58307	CVE-2022-41723	高危
Go-Yaml 安全漏洞	反序列化	MPS-2022-8233	CVE-2022-28948	高危
Google Go 权限许可和访问控制问题漏洞	权限管理不当	MPS-2022-9049	CVE-2022-29526	中危
Google Golang 资源管理错误漏洞	拒绝服务	MPS-c8am-hbny	CVE-2023-39325	高危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
golang.org/x/net	v0.0.0-20190827160401-ba9fcec4b297	0.17.0	间接依赖	建议修复
github.com/dgrijalva/jwt-go	v3.2.0+incompatible	4.0.0-preview1	间接依赖	建议修复
gopkg.in/yaml.v3	v3.0.0-20200615113413-eeeca48fe776	3.0.0	间接依赖	建议修复
golang.org/x/net	v0.0.0-20201224014010-6772e930b67b	0.17.0	间接依赖	建议修复
golang.org/x/sys	v0.0.0-20200106162015-b016eb3dc98e	0.1.0	直接依赖	可选修复
gopkg.in/yaml.v2	v2.2.4	2.2.8	直接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
BSD-3-Clause	20	低
MIT	35	低
BSD-2-Clause	5	低
Apache-2.0	27	低
ISC	1	低
MPL-2.0	1	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
github.com/fsnotify/fsnotify	v1.4.7	直接依赖	go
github.com/spf13/cast	v1.3.0	直接依赖	go
golang.org/x/text	v0.3.2	直接依赖	go
golang.org/x/tools	v0.0.0-20190311212946-11955173bddd	直接依赖	go
go.etcd.io/bbolt	v1.3.2	间接依赖	go
github.com/bketelsen/crypt	v0.0.3-0.20200106085610-5cbc8cc4026c	直接依赖	go
gopkg.in/go-playground/validator.v9	v9.17.1	直接依赖	go
github.com/gorilla/websocket	v1.4.2	间接依赖	go
github.com/uber/jaeger-client-go	v2.22.1+incompatible	直接依赖	go
gopkg.in/yaml.v2	v2.4.0	直接依赖	go
github.com/grpc-ecosystem/grpc-gateway	v1.9.0	间接依赖	go
github.com/go-openapi/swag	v0.19.5	直接依赖	go
golang.org/x/net	v0.0.0-20201224014010-6772e930b67b	间接依赖	go
golang.org/x/tools	v0.0.0-20200103221440-774c71fcf114	直接依赖	go
github.com/go-openapi/spec	v0.20.1	直接依赖	go
github.com/grpc-ecosystem/go-grpc-prometheus	v1.2.0	间接依赖	go
github.com/spf13/cobra	v1.1.1	直接依赖	go
github.com/gogo/protobuf	v1.2.1	间接依赖	go
go.uber.org/zap	v1.10.0	间接依赖	go
gopkg.in/yaml.v2	v2.2.4	直接依赖	go
github.com/davecgh/go-spew	v1.1.1	直接依赖	go
github.com/mitchellh/mapstructure	v1.1.2	直接依赖	go
go.uber.org/atomic	v1.4.0	间接依赖	go
github.com/dgrijalva/jwt-go	v3.2.0+incompatible	间接依赖	go
golang.org/x/tools	v0.0.0-20191029041327-9cc4af7d6b2c	间接依赖	go
github.com/stretchr/testify	v1.3.0	直接依赖	go
github.com/pelletier/go-toml	v1.2.0	直接依赖	go
github.com/PuerkitoBio/purell	v1.1.1	直接依赖	go
github.com/opentracing/opentracing-go	v1.1.0	直接依赖	go
github.com/prometheus/client_golang	v0.9.3	间接依赖	go
golang.org/x/lint	v0.0.0-20190930215403-16217165b5de	直接依赖	go
github.com/go-playground/universal-translator	v0.17.0	间接依赖	go
github.com/spf13/jwalterweatherman	v1.0.0	直接依赖	go
github.com/pkg/errors	v0.9.1	直接依赖	go
github.com/go-openapi/jsonreference	v0.19.5	直接依赖	go
gopkg.in/check.v1	v0.0.0-20161208181325-20d25e280405	直接依赖	go
github.com/stretchr/testify	v1.6.1	直接依赖	go
github.com/mailru/easyjson	v0.0.0-20190626092158-b2ccc519800e	间接依赖	go
github.com/kr/text	v0.2.0	间接依赖	go
github.com/prometheus/client_golang	v1.8.0	直接依赖	go
golang.org/x/net	v0.0.0-20190827160401-ba9fcec4b297	间接依赖	go
github.com/pmezard/go-difflib	v1.0.0	间接依赖	go
github.com/spf13/afero	v1.1.2	直接依赖	go
github.com/PuerkitoBio/urlesc	v0.0.0-20170810143723-de5bf2ad4578	间接依赖	go
golang.org/x/sys	v0.0.0-20200106162015-b016eb3dc98e	直接依赖	go
github.com/inconshreveable/mousetrap	v1.0.0	直接依赖	go
github.com/hashicorp/hcl	v1.0.0	直接依赖	go
github.com/mailru/easyjson	v0.7.6	直接依赖	go
go.uber.org/multierr	v1.1.0	间接依赖	go
github.com/spf13/viper	v1.7.1	直接依赖	go
gopkg.in/check.v1	v1.0.0-20200227125254-8fa46927fb4f	间接依赖	go
github.com/spf13/viper	v1.7.0	直接依赖	go
github.com/mitchellh/go-homedir	v1.1.0	直接依赖	go
github.com/spf13/cast	v1.3.1	直接依赖	go
github.com/cpuguy83/go-md2man/v2	v2.0.0	直接依赖	go
github.com/coreos/pkg	v0.0.0-20180928190104-399ea9e2e55f	间接依赖	go
github.com/go-openapi/swag	v0.19.12	直接依赖	go
github.com/coreos/go-systemd	v0.0.0-20190321100706-95778dfbb74e	间接依赖	go
github.com/xiang90/probing	v0.0.0-20190116061207-43a291ad63a2	间接依赖	go
github.com/magiconair/properties	v1.8.1	直接依赖	go
github.com/jonboulle/clockwork	v0.1.0	间接依赖	go
github.com/uber/jaeger-lib	v2.4.0+incompatible	间接依赖	go
github.com/spf13/pflag	v1.0.3	直接依赖	go
github.com/go-openapi/jsonpointer	v0.19.3	直接依赖	go
golang.org/x/sync	v0.0.0-20190911185100-cd5d95a43a6e	直接依赖	go
gopkg.in/yaml.v2	v2.3.0	直接依赖	go
gopkg.in/yaml.v2	v2.2.8	直接依赖	go
github.com/grpc-ecosystem/go-grpc-middleware	v1.0.0	间接依赖	go
github.com/spf13/pflag	v1.0.5	直接依赖	go
github.com/soheilhy/cmux	v0.1.4	间接依赖	go
github.com/niemeyer/pretty	v0.0.0-20200227124842-a10e7caefd8e	间接依赖	go
github.com/subosito/gotenv	v1.2.0	直接依赖	go
gopkg.in/ini.v1	v1.51.0	直接依赖	go
golang.org/x/text	v0.3.4	直接依赖	go
github.com/stretchr/testify	v1.2.2	直接依赖	go
github.com/tmc/grpc-websocket-proxy	v0.0.0-20190109142713-0ad062ec5ee5	间接依赖	go
github.com/golang/groupcache	v0.0.0-20190129154638-5b532d6fd5ef	间接依赖	go
github.com/spf13/pflag	v1.0.6-0.20200504143853-81378bbcd8a1	直接依赖	go
github.com/coreos/bbolt	v1.3.2	间接依赖	go
github.com/smartystreets/goconvey	v1.6.4	间接依赖	go
gopkg.in/yaml.v3	v3.0.0-20200615113413-eeeca48fe776	间接依赖	go
github.com/go-openapi/jsonpointer	v0.19.5	直接依赖	go
golang.org/x/text	v0.3.3	间接依赖	go
github.com/google/go-cmp	v0.3.1	直接依赖	go
github.com/go-playground/locales	v0.13.0	直接依赖	go

SBOM 开源软件漏洞

赞 (0)

caicloud/cyclone 软件分析报告

上一篇 2023年11月8日

caisiyi/SYTeamApp 软件分析报告

下一篇 2023年11月8日

AtelierCartographie/Khartis 软件分析报告

基础信息项目名称：AtelierCartographie/Khartis 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1722027424543584256/1722027424581332992 此报告由Mu…

软件分析 2023年11月8日
00
Anupam-dagar/awesome-first-timers 软件分析报告

基础信息项目名称：Anupam-dagar/awesome-first-timers 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1725002177281216512/1725002180049457152 …

软件分析 2023年11月16日
00
JElchison/format-udf 软件分析报告

基础信息项目名称：JElchison/format-udf 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721302467173240832/1724163518246641664 此报告由Murphysec…

软件分析 2023年11月14日
00
uber/zanzibar 软件分析报告

基础信息项目名称：uber/zanzibar 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1754287023004745728/1754287038657888256 此报告由Murphysec提供漏洞列表…

软件分析 2024年2月5日
00
zappajs/zappajs 软件分析报告

基础信息项目名称：zappajs/zappajs 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1727241502219784193/1727241502492413952 此报告由Murphysec提供漏洞…

软件分析 2023年11月22日
00