基础信息
项目名称:creditease-sec/insight
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1721111665247850496/1727744630270676992
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| Supervisor XML-RPC服务器安全漏洞 | 缺省权限不正确 | MPS-2017-9448 | CVE-2017-11610 | 高危 |
| Python Bleach 安全漏洞 | ReDoS | MPS-2020-36302 | CVE-2020-6817 | 高危 |
| Mozilla Bleach 跨站脚本漏洞 | XSS | MPS-2020-4539 | CVE-2020-6802 | 中危 |
| Mozilla Bleach 跨站脚本漏洞 | XSS | MPS-2020-4540 | CVE-2020-6816 | 中危 |
| Python Bleach 跨站脚本漏洞 | XSS | MPS-2021-19930 | CVE-2021-23980 | 中危 |
| bleach 存在跨站脚本漏洞 | XSS | MPS-2022-14767 | 中危 | |
| gunicorn 存在HTTP请求的解释不一致性(HTTP请求私运)漏洞 | HTTP请求走私 | MPS-2022-14935 | 中危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| supervisor | 3.3.1 | 3.3.3 | 间接依赖 | 建议修复 |
| bleach | 1.4.3 | 3.3.0 | 间接依赖 | 建议修复 |
| gunicorn | 19.6.0 | 19.10.0 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| MIT | 4 | 低 |
| 自定义许可证 | 1 | 低 |
| BSD-3-Clause | 2 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| supervisor | 3.3.1 | 间接依赖 | pip |
| Flask-Moment | 0.5.1 | 间接依赖 | pip |
| Markdown | 2.6.6 | 间接依赖 | pip |
| bleach | 1.4.3 | 间接依赖 | pip |
| Flask-Mail | 0.9.1 | 间接依赖 | pip |
| gunicorn | 19.6.0 | 间接依赖 | pip |
| Chartkick | 0.5.0 | 间接依赖 | pip |
| Flask-Script | 2.0.5 | 间接依赖 | pip |
| Flask-Mysql | 1.3 | 间接依赖 | pip |
| Flask-Uploads | 0.2.1 | 间接依赖 | pip |
| Flask-Login | 0.3.2 | 间接依赖 | pip |
| flask | 间接依赖 | pip | |
| flask-apscheduler | 1.4.0 | 间接依赖 | pip |
| apscheduler | 3.2.0 | 间接依赖 | pip |
| Flask-Bootstrap | 3.3.6.0 | 间接依赖 | pip |
| Flask-WTF | 0.12 | 间接依赖 | pip |
| Flask-Sqlalchemy | 2.1 | 间接依赖 | pip |
| Flask | 0.11.1 | 间接依赖 | pip |
| Flask-Pagedown | 0.2.1 | 间接依赖 | pip |
| Flask-Migrate | 1.8.0 | 间接依赖 | pip |