基础信息
项目名称:FDio/vpp
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1721190370070564864/1723215583184375808
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| urllib3 资源管理错误漏洞 | 拒绝服务 | MPS-2021-9054 | CVE-2021-33503 | 高危 |
| Certifi 存在数据真实性验证不充分漏洞 | 对数据真实性的验证不充分 | MPS-2022-1918 | CVE-2022-23491 | 中危 |
| Python 安全漏洞 | ReDoS | MPS-2022-57238 | CVE-2022-40897 | 中危 |
| Google Go 权限许可和访问控制问题漏洞 | 权限管理不当 | MPS-2022-9049 | CVE-2022-29526 | 中危 |
| urllib3 安全漏洞 | MPS-46py-nxai | CVE-2023-45803 | 中危 | |
| Certifi 数据伪造问题漏洞 | 对数据真实性的验证不充分 | MPS-ck78-r6zg | CVE-2023-37920 | 严重 |
| Requests Proxy-Authorization 标头泄露漏洞 | 未授权敏感信息泄露 | MPS-hr61-tzey | CVE-2023-32681 | 中危 |
| urllib3 HTTP重定向信息泄露漏洞 | 未授权敏感信息泄露 | MPS-s0oy-afbw | CVE-2023-43804 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| urllib3 | 1.25.9 | 1.26.18 | 间接依赖 | 建议修复 |
| certifi | 2020.4.5.1 | 2023.7.22 | 间接依赖 | 建议修复 |
| requests | 2.23.0 | 2.31.0 | 间接依赖 | 建议修复 |
| setuptools | 39.2.0 | 65.5.1 | 间接依赖 | 可选修复 |
| golang.org/x/sys | v0.0.0-20220503163025-988cb79eb6c6 | 0.1.0 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| MIT | 7 | 低 |
| 自定义许可证 | 4 | 低 |
| Apache-2.0 | 7 | 低 |
| MPL-2.0 | 1 | 低 |
| GPL-3.0 | 1 | 中 |
| BSD-3-Clause | 4 | 低 |
| ISC | 1 | 低 |
| BSD-2-Clause | 2 | 低 |
| GPL-2.0 | 1 | 中 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| github.com/stretchr/testify | v1.7.0 | 直接依赖 | go |
| Host | 间接依赖 | pip | |
| chardet | 3.0.4 | 间接依赖 | pip |
| CalledProcessError | 间接依赖 | pip | |
| gopkg.in/yaml.v3 | v3.0.1 | 直接依赖 | go |
| urllib3 | 1.25.9 | 间接依赖 | pip |
| go.fd.io/govpp | v0.7.0 | 直接依赖 | go |
| setuptools | 39.2.0 | 间接依赖 | pip |
| check_output | 间接依赖 | pip | |
| certifi | 2020.4.5.1 | 间接依赖 | pip |
| vpp_interface | 间接依赖 | pip | |
| VppTestRunner | 间接依赖 | pip | |
| git.fd.io/govpp.git | v0.3.6-0.20210601140839-da95997338b7 | 间接依赖 | go |
| hashes | 间接依赖 | pip | |
| github.com/sirupsen/logrus | v1.8.1 | 间接依赖 | go |
| ICMP | 间接依赖 | pip | |
| idna | 2.9 | 间接依赖 | pip |
| github.com/edwarnicke/exechelper | v1.0.2 | 直接依赖 | go |
| vpp_tunnel_interface | 间接依赖 | pip | |
| github.com/fsnotify/fsnotify | v1.4.9 | 间接依赖 | go |
| inet_ntop | 间接依赖 | pip | |
| github.com/davecgh/go-spew | v1.1.1 | 间接依赖 | go |
| github.com/pkg/errors | v0.9.1 | 间接依赖 | go |
| PyYAML | 5.3.1 | 间接依赖 | pip |
| github.com/hanwen/go-fuse/v2 | v2.1.0 | 间接依赖 | go |
| golang.org/x/sys | v0.0.0-20220503163025-988cb79eb6c6 | 间接依赖 | go |
| github.com/google/shlex | v0.0.0-20191202100458-e7afc7fbc510 | 间接依赖 | go |
| github.com/kr/text | v0.2.0 | 间接依赖 | go |
| gopkg.in/check.v1 | v1.0.0-20201130134442-10cb98267c6c | 间接依赖 | go |
| UDP | 间接依赖 | pip | |
| github.com/lunixbochs/struc | v0.0.0-20200521075829-a4cb8d33dbbe | 间接依赖 | go |
| mk_ll_addr | 间接依赖 | pip | |
| asfframework | 间接依赖 | pip | |
| distro | 1.5.0 | 间接依赖 | pip |
| vpp_object | 间接依赖 | pip | |
| inet_pton | 间接依赖 | pip | |
| config | 间接依赖 | pip | |
| ESP | 间接依赖 | pip | |
| VppAsfTestCase | 间接依赖 | pip | |
| scapy | 间接依赖 | pip | |
| github.com/pmezard/go-difflib | v1.0.0 | 间接依赖 | go |
| requests | 2.23.0 | 间接依赖 | pip |
| IP | 间接依赖 | pip | |
| pkg-resources | 0.0.0 | 间接依赖 | pip |
| SecurityAssociation | 间接依赖 | pip | |
| trex_stl_lib | 间接依赖 | pip |