基础信息
项目名称:jbossorg/bootstrap-community
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1721297935613329408/1728419336913113088
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| Ruby REST Client 安全漏洞 | 未授权敏感信息泄露 | MPS-2015-2184 | CVE-2015-3448 | 低危 |
| Ruby on Rails Rack 拒绝服务漏洞 | 数据处理错误 | MPS-2015-3714 | CVE-2015-3225 | 中危 |
| Libxml xmlreader组件拒绝服务漏洞 | 资源管理错误 | MPS-2015-3902 | CVE-2015-1819 | 中危 |
| 多款Apple产品libxslt 内存损坏漏洞 | 缓冲区溢出 | MPS-2016-4750 | CVE-2016-4738 | 高危 |
| libxml2 安全漏洞 | 不可达退出条件的循环(无限循环) | MPS-2017-13335 | CVE-2017-16932 | 高危 |
| Google Chrome Blink libxslt 安全漏洞 | 越界写入 | MPS-2017-4793 | CVE-2017-5029 | 高危 |
| libxml2 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2017-5545 | CVE-2017-9047 | 高危 |
| libxml2 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2017-5546 | CVE-2017-9048 | 高危 |
| libxml2 安全漏洞 | 越界读取 | MPS-2017-5547 | CVE-2017-9049 | 高危 |
| libxml2 安全漏洞 | 越界读取 | MPS-2017-5548 | CVE-2017-9050 | 高危 |
| Android libxml2 安全漏洞 | 越界写入 | MPS-2017-6503 | CVE-2017-0663 | 高危 |
| Ruby REST client 安全漏洞 | 会话固定 | MPS-2017-8941 | CVE-2015-1820 | 严重 |
| libxml2 代码问题漏洞 | 空指针取消引用 | MPS-2018-10078 | CVE-2018-14404 | 高危 |
| libxml2 安全漏洞 | UAF | MPS-2018-11567 | CVE-2017-15412 | 高危 |
| Asciidoctor 安全漏洞 | 不可达退出条件的循环(无限循环) | MPS-2018-13614 | CVE-2018-18385 | 高危 |
| Rack multipart parser 安全漏洞 | 拒绝服务 | MPS-2018-14700 | CVE-2018-16470 | 高危 |
| Rack 跨站脚本漏洞 | XSS | MPS-2018-14701 | CVE-2018-16471 | 中危 |
| libxml2 安全漏洞 | XXE | MPS-2018-2259 | CVE-2017-7375 | 严重 |
| libxml2 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2018-2260 | CVE-2017-7376 | 严重 |
| libxml2 资源管理错误漏洞 | 不加限制或调节的资源分配 | MPS-2018-4377 | CVE-2017-18258 | 中危 |
| ruby-ffi 安全漏洞 | 不可信的搜索路径 | MPS-2018-8250 | CVE-2018-1000201 | 高危 |
| Bootstrap 跨站脚本漏洞 | XSS | MPS-2018-9640 | CVE-2018-14040 | 中危 |
| Bootstrap 跨站脚本漏洞 | XSS | MPS-2018-9642 | CVE-2018-14042 | 中危 |
| Bootstrap跨站脚本漏洞 | XSS | MPS-2019-0181 | CVE-2018-20676 | 中危 |
| Bootstrap跨站脚本漏洞 | XSS | MPS-2019-0182 | CVE-2018-20677 | 中危 |
| Bootstrap 跨站脚本漏洞 | XSS | MPS-2019-0183 | CVE-2016-10735 | 中危 |
| haml 跨站脚本漏洞 | XSS | MPS-2019-13160 | CVE-2017-1002201 | 中危 |
| RubyGem Rack 信息泄露漏洞 | 通过时间差异性导致的信息暴露 | MPS-2019-16744 | CVE-2019-16782 | 中危 |
| libxslt 访问控制错误漏洞 | MPS-2019-3924 | CVE-2019-11068 | 严重 | |
| libxslt 输入验证错误漏洞 | 使用不兼容类型访问资源(类型混淆) | MPS-2019-7315 | CVE-2019-13118 | 中危 |
| Nokogiri 命令操作系统命令注入漏洞 | OS命令注入 | MPS-2019-9952 | CVE-2019-5477 | 严重 |
| libxml2 安全漏洞 | 不可达退出条件的循环(无限循环) | MPS-2020-1025 | CVE-2020-7595 | 高危 |
| libxml2 安全漏洞 | 内存泄漏 | MPS-2020-1029 | CVE-2019-20388 | 高危 |
| libxml2 缓冲区错误漏洞 | 越界读取 | MPS-2020-15346 | CVE-2020-24977 | 中危 |
| Nokogiri 代码问题漏洞 | XXE | MPS-2020-18058 | CVE-2020-26247 | 中危 |
| RubyGem Rack 输入验证错误漏洞 | 在安全决策中依赖未经验证和完整性检查的Cookie | MPS-2020-9140 | CVE-2020-8184 | 高危 |
| RubyGem Rack 路径遍历漏洞 | 路径遍历 | MPS-2020-9849 | CVE-2020-8161 | 高危 |
| Nokogiri 代码问题漏洞 | XXE | MPS-2021-31867 | CVE-2021-41098 | 高危 |
| libxml2 代码问题漏洞 | 空指针取消引用 | MPS-2021-6363 | CVE-2021-3537 | 中危 |
| libxml2 资源管理错误漏洞 | UAF | MPS-2021-6791 | CVE-2021-3518 | 高危 |
| libxml2 缓冲区错误漏洞 | 越界写入 | MPS-2021-6889 | CVE-2021-3517 | 高危 |
| libxml2 输入验证错误漏洞 | XML实体扩展 | MPS-2021-9463 | CVE-2021-3541 | 中危 |
| haml 存在跨站脚本漏洞 | XSS | MPS-2022-15258 | 中危 | |
| nokogiri 存在XXE漏洞 | XXE | MPS-2022-15289 | 高危 | |
| nokogiri 存在未经控制的内存分配漏洞 | 未经控制的内存分配 | MPS-2022-15290 | 高危 | |
| rack 存在HTTP请求的解释不一致性(HTTP请求私运)漏洞 | HTTP请求走私 | MPS-2022-15297 | 中危 | |
| libxml2 资源管理错误漏洞 | UAF | MPS-2022-1744 | CVE-2022-23308 | 高危 |
| Nokogiri 安全漏洞 | ReDoS | MPS-2022-3803 | CVE-2022-24836 | 高危 |
| rubygem-rack 资源管理错误漏洞 | ReDoS | MPS-2022-62790 | CVE-2022-44570 | 高危 |
| ruby-git 代码注入漏洞 | 代码注入 | MPS-2022-69655 | CVE-2022-46648 | 高危 |
| ruby-git 安全漏洞 | MPS-2022-69656 | CVE-2022-47318 | 高危 | |
| Nokogiri 安全漏洞 | 非预期数据类型处理不恰当 | MPS-2022-8582 | CVE-2022-29181 | 高危 |
| RubyGem Rack 资源管理错误漏洞 | ReDoS | MPS-2022-9827 | CVE-2022-30122 | 高危 |
| RubyGem Rack 安全漏洞 | MPS-2022-9828 | CVE-2022-30123 | 严重 | |
| rubygem-rack 安全漏洞 | 不加限制或调节的资源分配 | MPS-2023-6824 | CVE-2023-27530 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| rest-client | 1.6.7 | 1.8.0 | 间接依赖 | 建议修复 |
| asciidoctor | 1.5.1 | 1.5.8 | 间接依赖 | 建议修复 |
| git | 1.2.8 | 1.13.0 | 间接依赖 | 建议修复 |
| nokogiri | 1.5.11 | 1.13.6 | 间接依赖 | 建议修复 |
| rack | 1.5.2 | 间接依赖 | 建议修复 | |
| ffi | 1.9.6 | 1.9.24 | 间接依赖 | 建议修复 |
| bootstrap-sass | 3.1.1.1 | 3.4.0 | 间接依赖 | 建议修复 |
| haml | 4.0.5 | 5.0.0.beta.2 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| MIT | 3 | 低 |
| Apache-2.0 | 2 | 低 |
| 自定义许可证 | 2 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| multi_json | 1.10.1 | 间接依赖 | bundler |
| guard-livereload | 2.1.3 | 间接依赖 | bundler |
| rb-inotify | 0.9.5 | 间接依赖 | bundler |
| colorize | 0.7.3 | 间接依赖 | bundler |
| Platform | 0.4.0 | 间接依赖 | bundler |
| tilt | 2.0.1 | 间接依赖 | bundler |
| git | 1.2.8 | 间接依赖 | bundler |
| rb-fsevent | 0.9.4 | 间接依赖 | bundler |
| coderay | 1.1.0 | 间接依赖 | bundler |
| chunky_png | 1.3.2 | 间接依赖 | bundler |
| pry | 0.10.1 | 间接依赖 | bundler |
| bootstrap-sass | 3.1.1.1 | 间接依赖 | bundler |
| htmlcompressor | 0.0.7 | 间接依赖 | bundler |
| compass-960-plugin | 0.10.4 | 间接依赖 | bundler |
| rack | 1.5.2 | 间接依赖 | bundler |
| open4 | 1.3.4 | 间接依赖 | bundler |
| uglifier | 2.0.1 | 间接依赖 | bundler |
| fssm | 0.2.10 | 间接依赖 | bundler |
| rest-client | 1.6.7 | 间接依赖 | bundler |
| timers | 4.0.1 | 间接依赖 | bundler |
| ffi | 1.9.6 | 间接依赖 | bundler |
| awestruct | 0.5.5 | 间接依赖 | bundler |
| method_source | 0.8.2 | 间接依赖 | bundler |
| yui-compressor | 0.9.6 | 间接依赖 | bundler |
| celluloid | 0.16.0 | 间接依赖 | bundler |
| guard | 2.6.1 | 间接依赖 | bundler |
| formatador | 0.2.5 | 间接依赖 | bundler |
| lumberjack | 1.0.9 | 间接依赖 | bundler |
| http_parser.rb | 0.6.0 | 间接依赖 | bundler |
| asciidoctor | 1.5.1 | 间接依赖 | bundler |
| hitimes | 1.2.2 | 间接依赖 | bundler |
| listen | 2.7.11 | 间接依赖 | bundler |
| eventmachine | 1.0.3 | 间接依赖 | bundler |
| mime-types | 2.4.2 | 间接依赖 | bundler |
| POpen4 | 0.1.4 | 间接依赖 | bundler |
| ruby-s3cmd | 0.1.5 | 间接依赖 | bundler |
| execjs | 2.2.2 | 间接依赖 | bundler |
| nokogiri | 1.5.11 | 间接依赖 | bundler |
| thor | 0.19.1 | 间接依赖 | bundler |
| haml | 4.0.5 | 间接依赖 | bundler |
| compass | 0.12.7 | 间接依赖 | bundler |
| slop | 3.6.0 | 间接依赖 | bundler |
| sass | 3.2.19 | 间接依赖 | bundler |
| em-websocket | 0.5.1 | 间接依赖 | bundler |
| zurb-foundation | 4.3.2 | 间接依赖 | bundler |