jupyterhub/jupyterhub 软件分析报告

2023年11月29日下午8:00 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：jupyterhub/jupyterhub

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1721326564644782080/1729832564989841408

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
Pallets Jinja 安全漏洞	拒绝服务	MPS-2021-0890	CVE-2020-28493	中危
Jupyter Notebook 跨站脚本漏洞	XSS	MPS-2021-16957	CVE-2021-32798	严重
nbconvert XSS漏洞	XSS	MPS-2021-24622	CVE-2021-32862	中危
mistune 存在跨站脚本漏洞	XSS	MPS-2022-14986		中危
mistune 拒绝服务漏洞	拒绝服务	MPS-2022-20161	CVE-2022-34749	中危
Jupyter Notebook 日志信息泄露漏洞	日志敏感信息泄露	MPS-2022-3725	CVE-2022-24758	高危
Jupyter Notebook 安全漏洞	直接请求（强制性浏览）	MPS-2022-8639	CVE-2022-29238	中危
Interactive Python 操作系统命令注入漏洞	OS命令注入	MPS-2023-3322	CVE-2023-24816	高危
urllib3 安全漏洞		MPS-46py-nxai	CVE-2023-45803	中危
OpenSSL 代码问题漏洞	对因果或异常条件的不恰当检查	MPS-7ch0-so2p	CVE-2023-5678	中危
Tornado 输入验证错误漏洞	跨站重定向	MPS-84aj-mebq	CVE-2023-28370	中危
urllib3 HTTP重定向信息泄露漏洞	未授权敏感信息泄露	MPS-s0oy-afbw	CVE-2023-43804	高危

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
notebook	6.1.6	6.4.12	间接依赖	建议修复
ipython	7.34.0	8.10.0	间接依赖	建议修复
urllib3	2.0.5	2.0.7	间接依赖	建议修复
cryptography	41.0.4		间接依赖	可选修复
tornado	5.1	6.3.2	间接依赖	可选修复
nbconvert	6.0.7	6.3	间接依赖	可选修复
mistune	0.8.4	2.0.3	间接依赖	可选修复
jinja2	2.11.0	2.11.3	间接依赖	可选修复
charset-normalizer	3.2.0		间接依赖

许可证风险

许可证类型	相关组件	许可证风险
自定义许可证	33	低
Unlicense	1	低
BSD-3-Clause	6	低
MIT	34	低
Apache-2.0	7	低
ISC	2	低
Apache-2.0 OR BSD-3-Clause	1	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
pyzmq	25.1.1	间接依赖	pip
pool		间接依赖	pip
filelock	3.12.4	间接依赖	pip
appnope	0.1.3	间接依赖	pip
pycparser	2.21	间接依赖	pip
defusedxml	0.7.1	间接依赖	pip
Any		间接依赖	pip
idna	3.4	间接依赖	pip
jupyter-core	5.0.0	间接依赖	pip
pygments	2.16.1	间接依赖	pip
urllib3	2.0.5	间接依赖	pip
ruamel-yaml	0.17.32	间接依赖	pip
python-editor	1.0.4	间接依赖	pip
jupyter-telemetry	0.1.0	间接依赖	pip
pluggy	1.3.0	间接依赖	pip
jsonschema	4.19.1	间接依赖	pip
referencing	0.30.2	间接依赖	pip
Depends		间接依赖	pip
prometheus-client	0.5.0	间接依赖	pip
alembic	1.4	间接依赖	pip
playwright	1.38.0	间接依赖	pip
python-dateutil	2.8.2	间接依赖	pip
async_generator	1.9	间接依赖	pip
platformdirs	3.10.0	间接依赖	pip
HTTPException		间接依赖	pip
tornado	5.1	间接依赖	pip
virtualenv	20.24.5	间接依赖	pip
testpath	0.6.0	间接依赖	pip
nbconvert	6.0.7	间接依赖	pip
pytest-asyncio	0.17.2	间接依赖	pip
pandocfilters	1.5.0	间接依赖	pip
orm		间接依赖	pip
bootstrap	3.4.1	间接依赖	npm
jupyter_telemetry	0.1.0	间接依赖	pip
UpgradeDB		间接依赖	pip
certifi	2023.7.22	间接依赖	pip
sphinx	4	间接依赖	pip
terminado	0.13.3	间接依赖	pip
decorator	5.1.1	间接依赖	pip
font-awesome	4.7.0	间接依赖	npm
jupyterlab-pygments	0.2.2	间接依赖	pip
traitlets	4.3.2	间接依赖	pip
argon2-cffi	23.1.0	间接依赖	pip
mistune	0.8.4	间接依赖	pip
jedi	0.19.0	间接依赖	pip
escape		间接依赖	pip
send2trash	1.8.2	间接依赖	pip
b2a_hex		间接依赖	pip
async-generator	1.9	间接依赖	pip
pkgutil-resolve-name	1.3.10	间接依赖	pip
prometheus_client	0.5.0	间接依赖	pip
bleach	6.0.0	间接依赖	pip
FrozenDict		间接依赖	pip
certipy	0.1.2	间接依赖	pip
pickleshare	0.7.5	间接依赖	pip
DoNotCache		间接依赖	pip
oauthlib	3.0	间接依赖	pip
Security		间接依赖	pip
distlib	0.3.7	间接依赖	pip
attrs	23.1.0	间接依赖	pip
typing-extensions	4.8.0	间接依赖	pip
soupsieve	2.5	间接依赖	pip
ioloop		间接依赖	pip
b2a_base64		间接依赖	pip
packaging	23.1	间接依赖	pip
backcall	0.2.0	间接依赖	pip
requests-mock	1.11.0	间接依赖	pip
ipython	7.34.0	间接依赖	pip
NewToken		间接依赖	pip
wcwidth	0.2.6	间接依赖	pip
jsonschema-specifications	2023.7.1	间接依赖	pip
moment	2.29.4	间接依赖	npm
nbclient	0.5.11	间接依赖	pip
cryptography	41.0.4	间接依赖	pip
jquery	3.7.0	间接依赖	npm
pytest-cov	4.1.0	间接依赖	pip
myst-parser	0.19	间接依赖	pip
jinja2	2.11.0	间接依赖	pip
pexpect	4.8.0	间接依赖	pip
zipp	3.17.0	间接依赖	pip
mako	1.2.4	间接依赖	pip
markupsafe	2.0.1	间接依赖	pip
ipykernel	6.4.2	间接依赖	pip
pytablewriter	0.56	间接依赖	pip
notebook	6.1.6	间接依赖	pip
exceptiongroup	1.1.3	间接依赖	pip
nbformat	5.3.0	间接依赖	pip
sqlalchemy	1.4.1	间接依赖	pip
python-json-logger	2.0.7	间接依赖	pip
greenlet	2.0.2	间接依赖	pip
ptyprocess	0.7.0	间接依赖	pip
requests	2.31.0	间接依赖	pip
RequestHandler		间接依赖	pip
charset-normalizer	3.2.0	间接依赖	pip
matplotlib-inline	0.1.6	间接依赖	pip
Application		间接依赖	pip
entrypoints	0.4	间接依赖	pip
/tmp/requirements.txt		间接依赖	pip
metrics		间接依赖	pip
pyopenssl	23.2.0	间接依赖	pip
webencodings	0.5.1	间接依赖	pip
pytest	7.4.2	间接依赖	pip
fastjsonschema	2.18.0	间接依赖	pip
importlib-resources	6.1.0	间接依赖	pip
parso	0.8.3	间接依赖	pip
rpds-py	0.10.3	间接依赖	pip
iniconfig	2.0.0	间接依赖	pip
APIRouter		间接依赖	pip
SQLAlchemy	1.4.1	间接依赖	pip
jupyter-client	7.2.0	间接依赖	pip
tomli	2.0.1	间接依赖	pip
ruamel-yaml-clib	0.2.7	间接依赖	pip
ipython-genutils	0.2.0	间接依赖	pip
engine_from_config		间接依赖	pip
six	1.16.0	间接依赖	pip
requirejs	2.3.6	间接依赖	npm
HasTraits		间接依赖	pip
prompt-toolkit	3.0.39	间接依赖	pip
TraitError		间接依赖	pip
cffi	1.15.1	间接依赖	pip
debugpy	1.8.0	间接依赖	pip
Integer		间接依赖	pip
nest-asyncio	1.5.8	间接依赖	pip
pyee	9.0.4	间接依赖	pip
beautifulsoup4	4.12.2	间接依赖	pip
argon2-cffi-bindings	21.2.0	间接依赖	pip

SBOM 开源软件漏洞

赞 (0)

jupyter/nbgrader 软件分析报告

上一篇 2023年11月29日

Juude/Awesome-Android-Architecture 软件分析报告

下一篇 2023年11月29日

kisChang/kispiano-server 软件分析报告

基础信息项目名称：kisChang/kispiano-server 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1719478940778414080/1719478940904243200 此报告由Murph…

软件分析 2023年11月1日
00
DigitalInBlue/Celero 软件分析报告

基础信息项目名称：DigitalInBlue/Celero 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1717158649435832320/1717158649666519040 此报告由Murphysec…

软件分析 2023年10月25日
00
cazala/synaptic 软件分析报告

基础信息项目名称：cazala/synaptic 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1716591442049941504/1716591442343542784 此报告由Murphysec提供漏洞…

软件分析 2023年10月24日
00
Yin-Hongwei/music-website 软件分析报告

基础信息项目名称：Yin-Hongwei/music-website 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1724820572648988672/1724820580622360576 此报告由Murp…

软件分析 2023年11月16日
00
agiresearch/AIOS 软件分析报告

基础信息项目名称：agiresearch/AIOS 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1777247162941177856/1777247231975227393 此报告由Murphysec提供漏…

软件分析 2024年4月8日
00