基础信息
项目名称:jiajunhuang/blog
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1721308358169677824/1724217435630297088
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| gunicorn 存在HTTP请求的解释不一致性(HTTP请求私运)漏洞 | HTTP请求走私 | MPS-2022-14935 | 中危 | |
| Matthäus G. Chajdas pygments 代码问题漏洞 | 任意文件上传 | MPS-2022-57237 | CVE-2022-40896 | 中危 |
| Gevent 安全漏洞 | MPS-d183-ymbv | CVE-2023-41419 | 严重 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| gevent | 1.3.6 | 23.9.0 | 间接依赖 | 可选修复 |
| gunicorn | 19.9.0 | 19.10.0 | 间接依赖 | 可选修复 |
| pygments | 2.7.4 | 2.15.0 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| MIT | 8 | 低 |
| Apache-2.0 | 2 | 低 |
| BSD-2-Clause | 2 | 低 |
| LGPL-3.0 | 1 | 中 |
| MPL-2.0 | 1 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| gevent | 1.3.6 | 间接依赖 | pip |
| gopkg.in/tucnak/telebot.v2 | v2.5.0 | 直接依赖 | go |
| sqlalchemy | 1.3.4 | 间接依赖 | pip |
| gunicorn | 19.9.0 | 间接依赖 | pip |
| github.com/gin-gonic/gin | v1.9.1 | 直接依赖 | go |
| markdown | 3.0.1 | 间接依赖 | pip |
| github.com/prometheus/client_golang | v1.16.0 | 直接依赖 | go |
| github.com/getsentry/sentry-go | v0.22.0 | 直接依赖 | go |
| requests | 2.31.0 | 间接依赖 | pip |
| github.com/go-redis/redis/v7 | v7.4.1 | 直接依赖 | go |
| flask | 2.3.2 | 间接依赖 | pip |
| python-telegram-bot | 11.1.0 | 间接依赖 | pip |
| alembic | 1.0.10 | 间接依赖 | pip |
| mdx_linkify | 1.1 | 间接依赖 | pip |
| github.com/go-sql-driver/mysql | v1.7.1 | 直接依赖 | go |
| github.com/russross/blackfriday | v1.6.0 | 直接依赖 | go |
| jieba | 0.39 | 间接依赖 | pip |
| pygments | 2.7.4 | 间接依赖 | pip |
| github.com/jmoiron/sqlx | v1.3.5 | 直接依赖 | go |