基础信息
项目名称:baidu/EasyFaaS
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1730061443629273088/1730061446741446656
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| runc 操作系统命令注入漏洞 | OS命令注入 | MPS-2019-1548 | CVE-2019-5736 | 高危 |
| fasthttp 安全漏洞 | 路径遍历 | MPS-2022-5051 | CVE-2022-21221 | 高危 |
| Go-Yaml 安全漏洞 | 反序列化 | MPS-2022-8233 | CVE-2022-28948 | 高危 |
| runc 权限许可和访问控制问题漏洞 | 缺省权限不正确 | MPS-2022-8563 | CVE-2022-29162 | 高危 |
| Google Go 权限许可和访问控制问题漏洞 | 权限管理不当 | MPS-2022-9049 | CVE-2022-29526 | 中危 |
| runc 安全漏洞 | 使用不正确的解析名称或索引 | MPS-2023-6887 | CVE-2023-27561 | 高危 |
| runc | 访问控制不当 | MPS-2023-8507 | CVE-2023-28642 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| github.com/valyala/fasthttp | v1.5.0 | 1.34.0 | 直接依赖 | 建议修复 |
| gopkg.in/yaml.v3 | v3.0.0-20191026110619-0b21df46bc1d | 3.0.0 | 直接依赖 | 建议修复 |
| github.com/opencontainers/runc | v1.0.0-rc95 | 1.1.5 | 直接依赖 | 建议修复 |
| golang.org/x/sys | v0.0.0-20210426230700-d19ff857e887 | 0.1.0 | 直接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| Apache-2.0 | 15 | 低 |
| MIT | 11 | 低 |
| BSD-3-Clause | 9 | 低 |
| BSD-2-Clause | 2 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| github.com/modern-go/reflect2 | v1.0.1 | 间接依赖 | go |
| github.com/aws/aws-sdk-go | v1.23.22 | 直接依赖 | go |
| sigs.k8s.io/yaml | v1.2.0 | 间接依赖 | go |
| github.com/spf13/pflag | v1.0.3 | 直接依赖 | go |
| github.com/docker/libnetwork | v0.8.0-dev.2.0.20191022201816-571783238bee | 直接依赖 | go |
| github.com/qiangxue/fasthttp-routing | v0.0.0-20160225050629-6ccdc2a18d87 | 直接依赖 | go |
| github.com/stretchr/testify | v1.4.0 | 直接依赖 | go |
| github.com/onsi/ginkgo | v1.14.2 | 间接依赖 | go |
| go.uber.org/multierr | v1.6.0 | 间接依赖 | go |
| k8s.io/apimachinery | v0.0.0-20190402064448-91ffda0f6be2 | 直接依赖 | go |
| gopkg.in/yaml.v3 | v3.0.0-20191026110619-0b21df46bc1d | 直接依赖 | go |
| github.com/google/uuid | v1.1.1 | 直接依赖 | go |
| github.com/pkg/errors | v0.9.1 | 直接依赖 | go |
| github.com/rogpeppe/go-internal | v1.3.0 | 直接依赖 | go |
| github.com/gorilla/mux | v1.7.0 | 直接依赖 | go |
| code.cloudfoundry.org/go-diodes | v0.0.0-20180905200951-72629b5276e3 | 直接依赖 | go |
| github.com/opencontainers/runtime-spec | v1.0.3-0.20210326190908-1c3f411f0417 | 直接依赖 | go |
| github.com/vishvananda/netns | v0.0.0-20191106174202-0a2b9b5464df | 直接依赖 | go |
| github.com/prometheus/client_model | v0.0.0-20190812154241-14fe0d1b01d4 | 直接依赖 | go |
| github.com/emicklei/go-restful | v2.9.6+incompatible | 直接依赖 | go |
| github.com/onsi/gomega | v1.10.3 | 间接依赖 | go |
| golang.org/x/sys | v0.0.0-20210426230700-d19ff857e887 | 直接依赖 | go |
| k8s.io/klog | v1.0.0 | 间接依赖 | go |
| github.com/prometheus/client_golang | v0.9.3-0.20190127221311-3c4408c8b829 | 直接依赖 | go |
| github.com/valyala/fasthttp | v1.5.0 | 直接依赖 | go |
| github.com/godbus/dbus | v4.1.0+incompatible | 间接依赖 | go |
| github.com/go-ozzo/ozzo-routing | v2.1.4+incompatible | 间接依赖 | go |
| github.com/opencontainers/runc | v1.0.0-rc95 | 直接依赖 | go |
| github.com/vishvananda/netlink | v1.1.0 | 直接依赖 | go |
| github.com/erikh/ping | v0.0.0-20141209185752-d731d249e12a | 直接依赖 | go |
| github.com/json-iterator/go | v1.1.6 | 直接依赖 | go |
| github.com/google/gofuzz | v1.2.0 | 间接依赖 | go |
| github.com/modern-go/concurrent | v0.0.0-20180306012644-bacd9c7ef1dd | 间接依赖 | go |
| go.uber.org/zap | v1.10.0 | 直接依赖 | go |
| github.com/golang/gddo | v0.0.0-20210115222349-20d68f94ee1f | 间接依赖 | go |
| gopkg.in/inf.v0 | v0.9.1 | 间接依赖 | go |