基础信息
项目名称:blockchainsllc/in3
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1730099834964631552/1730099835606360064
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| urllib3 注入漏洞 | 注入 | MPS-2020-13780 | CVE-2020-26137 | 中危 |
| Pytest 安全漏洞 | MPS-2020-17082 | CVE-2020-29651 | 高危 | |
| Python Bleach 跨站脚本漏洞 | XSS | MPS-2021-19930 | CVE-2021-23980 | 中危 |
| Mkdocs 安全漏洞 | 路径遍历 | MPS-2021-31742 | CVE-2021-40978 | 高危 |
| nltk 代码问题漏洞 | 不充分的比较 | MPS-2021-32390 | CVE-2021-3828 | 高危 |
| nltk 安全漏洞 | ReDoS | MPS-2021-32644 | CVE-2021-3842 | 高危 |
| Natural Language Toolkit 资源管理错误漏洞 | 拒绝服务 | MPS-2021-36979 | CVE-2021-43854 | 高危 |
| urllib3 资源管理错误漏洞 | 拒绝服务 | MPS-2021-9054 | CVE-2021-33503 | 高危 |
| mkdocs 存在跨站脚本漏洞 | XSS | MPS-2022-14989 | 中危 | |
| nltk 存在拒绝服务漏洞 | 拒绝服务 | MPS-2022-15003 | 中危 | |
| pylint 存在拒绝服务漏洞 | 拒绝服务 | MPS-2022-15071 | 中危 | |
| pylint 存在代码注入漏洞 | 代码注入 | MPS-2022-15072 | 中危 | |
| pylint 存在拒绝服务漏洞 | 拒绝服务 | MPS-2022-15073 | 高危 | |
| Certifi 存在数据真实性验证不充分漏洞 | 对数据真实性的验证不充分 | MPS-2022-1918 | CVE-2022-23491 | 中危 |
| Python 安全漏洞 | ReDoS | MPS-2022-57240 | CVE-2022-40899 | 高危 |
| MkDocs 存储型XSS漏洞 | XSS | MPS-2022-6935 | 中危 | |
| urllib3 安全漏洞 | MPS-46py-nxai | CVE-2023-45803 | 中危 | |
| Tornado 输入验证错误漏洞 | 跨站重定向 | MPS-84aj-mebq | CVE-2023-28370 | 中危 |
| Certifi 数据伪造问题漏洞 | 对数据真实性的验证不充分 | MPS-ck78-r6zg | CVE-2023-37920 | 严重 |
| Requests Proxy-Authorization 标头泄露漏洞 | 未授权敏感信息泄露 | MPS-hr61-tzey | CVE-2023-32681 | 中危 |
| urllib3 HTTP重定向信息泄露漏洞 | 未授权敏感信息泄露 | MPS-s0oy-afbw | CVE-2023-43804 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| requests | 2.24.0 | 2.31.0 | 间接依赖 | 建议修复 |
| py | 1.8.1 | 1.10.0 | 间接依赖 | 建议修复 |
| mkdocs | 1.1 | 1.3.0 | 间接依赖 | 建议修复 |
| certifi | 2019.11.28 | 2023.7.22 | 间接依赖 | 建议修复 |
| urllib3 | 1.25.8 | 1.26.18 | 间接依赖 | 建议修复 |
| nltk | 3.4.5 | 3.6.6 | 间接依赖 | 建议修复 |
| pylint | 2.4.4 | 2.7.0 | 间接依赖 | 建议修复 |
| future | 0.18.2 | 0.18.3 | 间接依赖 | 可选修复 |
| tornado | 6.0.4 | 6.3.2 | 间接依赖 | 可选修复 |
| bleach | 3.1.5 | 3.3.0 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| BSD-3-Clause | 6 | 低 |
| MIT | 23 | 低 |
| Apache-2.0 | 10 | 低 |
| 自定义许可证 | 15 | 低 |
| Zlib | 2 | 低 |
| MPL-2.0 | 1 | 低 |
| BSD-2-Clause | 2 | 低 |
| GPL-2.0-or-later | 1 | 低 |
| LGPL-2.1-or-later | 1 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| keyring | 21.2.1 | 间接依赖 | pip |
| click | 7.1.1 | 间接依赖 | pip |
| PyYAML | 5.3.1 | 间接依赖 | pip |
| pytest | 5.4.1 | 间接依赖 | pip |
| VERSION.dll | 间接依赖 | ||
| attrs | 19.3.0 | 间接依赖 | pip |
| yapf | 0.29.0 | 间接依赖 | pip |
| NodeList | 间接依赖 | pip | |
| has_breakpad | 间接依赖 | pip | |
| pyflakes | 2.1.1 | 间接依赖 | pip |
| idna | 2.9 | 间接依赖 | pip |
| In3Node | 间接依赖 | pip | |
| importlib-metadata | 1.6.0 | 间接依赖 | pip |
| libc.so | 间接依赖 | ||
| zlib-ng | 2.0.2 | 间接依赖 | |
| VCRUNTIME140D.dll | 间接依赖 | ||
| crashpad | cci.20210507 | 间接依赖 | |
| pylama | 7.7.1 | 间接依赖 | pip |
| py | 1.8.1 | 间接依赖 | pip |
| certifi | 2019.11.28 | 间接依赖 | pip |
| lunr | 0.5.6 | 间接依赖 | pip |
| gamenetworkingsockets | 1.3.0 | 间接依赖 | |
| snowballstemmer | 2.0.0 | 间接依赖 | pip |
| breakpad | cci.20210521 | 间接依赖 | |
| coverage-badge | 1.0.1 | 间接依赖 | pip |
| libsentry.so | 间接依赖 | ||
| MarkupSafe | 1.1.1 | 间接依赖 | pip |
| libdl.so | 间接依赖 | ||
| wcwidth | 0.1.9 | 间接依赖 | pip |
| check_output | 间接依赖 | pip | |
| zlib | 间接依赖 | ||
| requests | 2.24.0 | 间接依赖 | pip |
| pydoc-markdown | 2.1.3 | 间接依赖 | pip |
| pydocstyle | 5.0.2 | 间接依赖 | pip |
| packaging | 20.3 | 间接依赖 | pip |
| zipp | 3.1.0 | 间接依赖 | pip |
| make_dsn | 间接依赖 | pip | |
| webencodings | 0.5.1 | 间接依赖 | pip |
| urllib3 | 1.25.8 | 间接依赖 | pip |
| isort | 4.3.21 | 间接依赖 | pip |
| DataTransferObject | 间接依赖 | pip | |
| ole32.dll | 间接依赖 | ||
| requests-toolbelt | 0.9.1 | 间接依赖 | pip |
| chardet | 3.0.4 | 间接依赖 | pip |
| run | 间接依赖 | pip | |
| libm.so | 间接依赖 | ||
| mkdocs | 1.1 | 间接依赖 | pip |
| /usr/lib/libSystem.B.dylib | 间接依赖 | ||
| in3 | 间接依赖 | pip | |
| black | 19.10b0 | 间接依赖 | pip |
| lazy-object-proxy | 1.4.3 | 间接依赖 | pip |
| bleach | 3.1.5 | 间接依赖 | pip |
| pytest-httpserver | 0.3.4 | 间接依赖 | pip |
| livereload | 2.6.1 | 间接依赖 | pip |
| has_crashpad | 间接依赖 | pip | |
| Jinja2 | 2.11.1 | 间接依赖 | pip |
| junit-xml | 1.9 | 间接依赖 | pip |
| pytest | 5.4.3 | 间接依赖 | pip |
| typed-ast | 1.4.3 | 间接依赖 | pip |
| readme-renderer | 26.0 | 间接依赖 | pip |
| libc.so.6 | 间接依赖 | ||
| wrapt | 1.11.2 | 间接依赖 | pip |
| KERNEL32.dll | 间接依赖 | ||
| future | 0.18.2 | 间接依赖 | pip |
| HashFormatException | 间接依赖 | pip | |
| twine | 3.1.1 | 间接依赖 | pip |
| EthAddressFormatException | 间接依赖 | pip | |
| mccabe | 0.6.1 | 间接依赖 | pip |
| tqdm | 4.46.0 | 间接依赖 | pip |
| more-itertools | 8.2.0 | 间接依赖 | pip |
| tornado | 6.0.4 | 间接依赖 | pip |
| docutils | 0.16 | 间接依赖 | pip |
| pluggy | 0.13.1 | 间接依赖 | pip |
| pycodestyle | 2.5.0 | 间接依赖 | pip |
| pylint | 2.4.4 | 间接依赖 | pip |
| six | 1.14.0 | 间接依赖 | pip |
| WININET.dll | 间接依赖 | ||
| Markdown | 3.2.1 | 间接依赖 | pip |
| imagehlp.dll | 间接依赖 | ||
| Account | 间接依赖 | pip | |
| pkginfo | 1.5.0.1 | 间接依赖 | pip |
| pyparsing | 2.4.7 | 间接依赖 | pip |
| blahjiggity | 间接依赖 | ||
| /usr/lib/libgcc_s.1.dylib | 间接依赖 | ||
| NewTransaction | 间接依赖 | pip | |
| ucrtbased.dll | 间接依赖 | ||
| coverage | 5.1 | 间接依赖 | pip |
| Pygments | 2.6.1 | 间接依赖 | pip |
| astroid | 2.3.3 | 间接依赖 | pip |
| nltk | 3.4.5 | 间接依赖 | pip |