基础信息
项目名称:jhardy/sache
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1721307616889360384/1730505756192493568
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| Ruby on Rails SQL注入漏洞 | SQL注入 | MPS-2014-0855 | CVE-2014-0080 | 中危 |
| Ruby on Rails SQL注入漏洞 | SQL注入 | MPS-2014-3397 | CVE-2014-3483 | 高危 |
| Ruby on Rails Active Record create_with() 权限许可和访问控制漏洞 | 权限、特权和访问控制 | MPS-2014-4104 | CVE-2014-3514 | 高危 |
| Ruby on Rails Rack 拒绝服务漏洞 | 数据处理错误 | MPS-2015-3714 | CVE-2015-3225 | 中危 |
| Ruby on Rails Active Support 跨站脚本漏洞 | XSS | MPS-2015-3715 | CVE-2015-3226 | 中危 |
| Ruby on Rails Active Support 远程拒绝服务漏洞 | 拒绝服务 | MPS-2015-3716 | CVE-2015-3227 | 中危 |
| Ruby on Rails Active Model 安全绕过漏洞 | MPS-2016-0902 | CVE-2016-0753 | 中危 | |
| Ruby on Rails Action Record 安全绕过漏洞 | 访问控制不当 | MPS-2016-0904 | CVE-2015-7577 | 中危 |
| Ruby on Rails Active Record 安全漏洞 | 空指针取消引用 | MPS-2016-4338 | CVE-2016-6317 | 高危 |
| i18n gem for Ruby 安全漏洞 | 拒绝服务 | MPS-2018-14444 | CVE-2014-10077 | 高危 |
| Rack multipart parser 安全漏洞 | 拒绝服务 | MPS-2018-14700 | CVE-2018-16470 | 高危 |
| Rack 跨站脚本漏洞 | XSS | MPS-2018-14701 | CVE-2018-16471 | 中危 |
| Sinatra for Windows 路径遍历漏洞 | 路径遍历 | MPS-2018-2220 | CVE-2018-7212 | 中危 |
| Sinatra rack-protection 信息泄露漏洞 | 通过差异性导致的信息暴露 | MPS-2018-2820 | CVE-2018-1000119 | 中危 |
| Sinatra 跨站脚本漏洞 | XSS | MPS-2018-6695 | CVE-2018-11627 | 中危 |
| haml 跨站脚本漏洞 | XSS | MPS-2019-13160 | CVE-2017-1002201 | 中危 |
| RubyGem Rack 信息泄露漏洞 | 通过时间差异性导致的信息暴露 | MPS-2019-16744 | CVE-2019-16782 | 中危 |
| RubyGem Rack 输入验证错误漏洞 | 在安全决策中依赖未经验证和完整性检查的Cookie | MPS-2020-9140 | CVE-2020-8184 | 高危 |
| Ruby on Rails 代码问题漏洞 | 反序列化 | MPS-2020-9184 | CVE-2020-8165 | 严重 |
| RubyGem Rack 路径遍历漏洞 | 路径遍历 | MPS-2020-9849 | CVE-2020-8161 | 高危 |
| Addressable资源管理错误漏洞 | 拒绝服务 | MPS-2021-9447 | CVE-2021-32740 | 高危 |
| Ruby TZInfo 存在相对路径遍历 | 相对路径遍历 | MPS-2022-11193 | CVE-2022-31163 | 高危 |
| haml 存在跨站脚本漏洞 | XSS | MPS-2022-15257 | 中危 | |
| haml 存在跨站脚本漏洞 | XSS | MPS-2022-15258 | 中危 | |
| rack 存在HTTP请求的解释不一致性(HTTP请求私运)漏洞 | HTTP请求走私 | MPS-2022-15297 | 中危 | |
| rack-protection 存在密码学问题漏洞 | 密码学问题 | MPS-2022-15303 | 低危 | |
| Rails 框架下 activerecord 模块反序列化漏洞 | 代码注入 | MPS-2022-17177 | CVE-2022-32224 | 高危 |
| ActiveRecord 的 PostgreSQL 适配器存在拒绝服务漏洞 | 拒绝服务 | MPS-2022-62786 | CVE-2022-44566 | 中危 |
| rubygem-rack 资源管理错误漏洞 | ReDoS | MPS-2022-62790 | CVE-2022-44570 | 高危 |
| Sinatra 安全漏洞 | 下载代码缺少完整性检查 | MPS-2022-64602 | CVE-2022-45442 | 高危 |
| Sinatra路径遍历漏洞 | 路径遍历 | MPS-2022-9671 | CVE-2022-29970 | 高危 |
| RubyGem Rack 资源管理错误漏洞 | ReDoS | MPS-2022-9827 | CVE-2022-30122 | 高危 |
| RubyGem Rack 安全漏洞 | MPS-2022-9828 | CVE-2022-30123 | 严重 | |
| rubygem-activesupport 安全漏洞 | ReDoS | MPS-2023-0494 | CVE-2023-22796 | 高危 |
| rubygem-rack 安全漏洞 | 不加限制或调节的资源分配 | MPS-2023-6824 | CVE-2023-27530 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| activerecord | 4.0.1 | 6.1.7.1 | 间接依赖 | 强烈建议修复 |
| activesupport | 4.0.1 | 6.1.7.1 | 间接依赖 | 强烈建议修复 |
| i18n | 0.6.5 | 0.8.0 | 间接依赖 | 建议修复 |
| rack | 1.5.2 | 间接依赖 | 建议修复 | |
| addressable | 2.3.5 | 2.8.0 | 间接依赖 | 建议修复 |
| sinatra | 1.4.4 | 2.2.3 | 间接依赖 | 建议修复 |
| tzinfo | 0.3.38 | 0.3.61 | 间接依赖 | 建议修复 |
| haml | 4.0.4 | 5.0.0.beta.2 | 间接依赖 | 可选修复 |
| rack-protection | 1.5.1 | 2.0.1 | 间接依赖 | 可选修复 |
| activemodel | 4.0.1 | 4.3 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| 自定义许可证 | 4 | 低 |
| MIT | 7 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| compass | 0.12.2 | 间接依赖 | bundler |
| fssm | 0.2.10 | 间接依赖 | bundler |
| arel | 4.0.1 | 间接依赖 | bundler |
| faraday | 0.8.8 | 间接依赖 | bundler |
| i18n | 0.6.5 | 间接依赖 | bundler |
| sinatra-activerecord | 1.2.3 | 间接依赖 | bundler |
| atomic | 1.1.14 | 间接依赖 | bundler |
| ripl-multi_line | 0.3.1 | 间接依赖 | bundler |
| jsmin | 1.0.1 | 间接依赖 | bundler |
| robloach/component-installer | * | 间接依赖 | composer |
| activerecord | 4.0.1 | 间接依赖 | bundler |
| sinatra-redirect-with-flash | 0.2.0 | 间接依赖 | bundler |
| sawyer | 0.5.1 | 间接依赖 | bundler |
| tilt | 1.4.1 | 间接依赖 | bundler |
| activesupport | 4.0.1 | 间接依赖 | bundler |
| ripl | 0.7.0 | 间接依赖 | bundler |
| friendly_id | 5.0.3 | 间接依赖 | bundler |
| bond | 0.4.3 | 间接依赖 | bundler |
| thread_safe | 0.1.3 | 间接依赖 | bundler |
| activerecord-deprecated_finders | 1.0.3 | 间接依赖 | bundler |
| addressable | 2.3.5 | 间接依赖 | bundler |
| multipart-post | 1.2.0 | 间接依赖 | bundler |
| chunky_png | 1.2.9 | 间接依赖 | bundler |
| rack | 1.5.2 | 间接依赖 | bundler |
| minitest | 4.7.5 | 间接依赖 | bundler |
| sinatra-assetpack | 0.3.1 | 间接依赖 | bundler |
| octokit | 2.5.1 | 间接依赖 | bundler |
| sinatra-contrib | 1.4.2 | 间接依赖 | bundler |
| sinatra | 1.4.4 | 间接依赖 | bundler |
| sass | 3.2.12 | 间接依赖 | bundler |
| tux | 0.3.0 | 间接依赖 | bundler |
| activemodel | 4.0.1 | 间接依赖 | bundler |
| tzinfo | 0.3.38 | 间接依赖 | bundler |
| multi_json | 1.8.2 | 间接依赖 | bundler |
| ripl-rack | 0.2.0 | 间接依赖 | bundler |
| rack-protection | 1.5.1 | 间接依赖 | bundler |
| builder | 3.1.4 | 间接依赖 | bundler |
| sinatra-flash | 0.3.0 | 间接依赖 | bundler |
| haml | 4.0.4 | 间接依赖 | bundler |
| backports | 3.6.4 | 间接依赖 | bundler |
| rack-test | 0.6.2 | 间接依赖 | bundler |