基础信息
项目名称:evidentlyai/evidently
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1721174519665725440/1746773649592979456
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| MLflow | 路径遍历 | MPS-06sl-jy9a | CVE-2023-6977 | 严重 |
| Mlflow 代码问题漏洞 | 任意文件上传 | MPS-1ri5-9pz8 | CVE-2023-6976 | 高危 |
| PyYAML 代码问题漏洞 | 反序列化 | MPS-2020-2643 | CVE-2019-20477 | 严重 |
| NumPy 缓冲区错误漏洞 | 经典缓冲区溢出 | MPS-2021-25101 | CVE-2021-33430 | 中危 |
| NumPy 安全漏洞 | 不充分的比较 | MPS-2021-25631 | CVE-2021-34141 | 中危 |
| Apache Spark | 使用捕获-重放进行的认证绕过 | MPS-2021-28996 | CVE-2021-38296 | 高危 |
| NumPy 代码问题漏洞 | 空指针取消引用 | MPS-2021-32278 | CVE-2021-41495 | 中危 |
| NumPy 安全漏洞 | 经典缓冲区溢出 | MPS-2021-32279 | CVE-2021-41496 | 中危 |
| httpx 存在输入验证不恰当漏洞 | 输入验证不恰当 | MPS-2022-14944 | 中危 | |
| scikit-learn 存在拒绝服务漏洞 | 拒绝服务 | MPS-2022-15126 | 低危 | |
| Apache Spark UI shell 命令注入漏洞 | 命令注入 | MPS-2022-19085 | CVE-2022-33891 | 高危 |
| Python 安全漏洞 | ReDoS | MPS-2022-57238 | CVE-2022-40897 | 中危 |
| Python 安全漏洞 | ReDoS | MPS-2022-57239 | CVE-2022-40898 | 高危 |
| SciPy 资源管理错误漏洞 | UAF | MPS-2023-10196 | CVE-2023-29824 | 严重 |
| SciPy 安全漏洞 | MPS-2023-4046 | CVE-2023-25399 | 中危 | |
| MLflow 安全漏洞 | MPS-26q8-ret3 | CVE-2023-6014 | 严重 | |
| Mlflow 操作系统命令注入漏洞 | OS命令注入 | MPS-2aec-1i4z | CVE-2023-4033 | 高危 |
| MLflow | 路径遍历 | MPS-2b4y-60k3 | CVE-2023-6975 | 严重 |
| MLflow 未授权修改Experiments任务漏洞 | 关键功能的认证机制缺失 | MPS-81di-b9ge | CVE-2023-43472 | 中危 |
| GitPython 安全漏洞 | MPS-9ciy-7qre | CVE-2023-40267 | 严重 | |
| Mlflow 安全漏洞 | 路径遍历 | MPS-c4im-9yj3 | CVE-2023-3765 | 严重 |
| Apache Arrow PyArrow 任意代码执行 | 反序列化 | MPS-eck2-x5ys | CVE-2023-47248 | 高危 |
| GitPython 代码问题漏洞 | 不可信的搜索路径 | MPS-efyw-rmlk | CVE-2023-40590 | 高危 |
| mlflow 安全漏洞 | XSS | MPS-grjs-em9f | CVE-2023-6568 | 中危 |
| Mlflow 安全漏洞 | OS命令注入 | MPS-gvw2-1olh | CVE-2023-6018 | 严重 |
| MLflow | 路径遍历 | MPS-hbve-if4y | CVE-2023-6753 | 严重 |
| Requests Proxy-Authorization 标头泄露漏洞 | 未授权敏感信息泄露 | MPS-hr61-tzey | CVE-2023-32681 | 中危 |
| MLflow | 路径遍历 | MPS-m397-puva | CVE-2023-6831 | 严重 |
| mlflow 安全漏洞 | 路径遍历 | MPS-o4nv-3fah | CVE-2023-6909 | 高危 |
| Mlflow 代码问题漏洞 | SSRF | MPS-oqh9-w8yp | CVE-2023-6974 | 严重 |
| GitPython 代码问题漏洞 | 不可信的搜索路径 | MPS-owzn-pyc4 | CVE-2024-22190 | 高危 |
| Mlflow Jinja2 模版注入漏洞 | 命令注入 | MPS-qdjk-tr3g | CVE-2023-6940 | 严重 |
| GitPython 路径遍历漏洞 | 路径遍历 | MPS-qhle-wjx0 | CVE-2023-41040 | 中危 |
| MLflow | 模板注入 | MPS-sv6t-fu0k | CVE-2023-6709 | 严重 |
| Mlflow 安全漏洞 | 路径遍历 | MPS-tbq6-vkj5 | CVE-2023-6015 | 高危 |
| Pillow 安全漏洞 | 不加限制或调节的资源分配 | MPS-uxbf-5trd | CVE-2023-44271 | 高危 |
| Prefect 安全漏洞 | CSRF | MPS-w07v-hgr6 | CVE-2023-6022 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| pyspark | 3.0.0 | 3.1.3 | 间接依赖 | 建议修复 |
| pyyaml | 5.1 | 5.4 | 间接依赖 | 建议修复 |
| pyarrow | 11.0dev | 14.0.1 | 间接依赖 | 建议修复 |
| mlflow | 2.4.2 | 2.6.0 | 间接依赖 | 建议修复 |
| requests | 2.21.0 | 2.31.0 | 间接依赖 | 建议修复 |
| scipy | 1.5.4 | 1.10.0 | 间接依赖 | 建议修复 |
| prefect | 2.12.0 | 间接依赖 | 建议修复 | |
| setuptools | 50.3.2 | 65.5.1 | 间接依赖 | 可选修复 |
| numpy | 1.19.5 | 间接依赖 | 可选修复 | |
| wheel | 0.35.1 | 0.38.0 | 间接依赖 | 可选修复 |
| scikit-learn | 0.24.0 | 0.24.2 | 间接依赖 | 可选修复 |
| gitpython | 3.1.30 | 3.1.35 | 间接依赖 | 可选修复 |
| httpx | 0.23.3 | 间接依赖 | 可选修复 | |
| pillow | 9.5.0 | 10.0.0 | 间接依赖 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| MIT | 13 | 低 |
| BSD-3-Clause | 5 | 低 |
| Apache-2.0 | 10 | 低 |
| 自定义许可证 | 14 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| mypy | 0.920 | 间接依赖 | pip |
| category_encoders | 2.6.0 | 间接依赖 | pip |
| numpy | 1.19.5 | 间接依赖 | pip |
| airflow_requirements.txt | 间接依赖 | pip | |
| plotly | 5.10.0 | 间接依赖 | pip |
| pendulum | 2.1.2 | 间接依赖 | pip |
| fastparquet | 2023.8.0 | 间接依赖 | pip |
| pyspark | 3.0.0 | 间接依赖 | pip |
| types-PyYAML | 6.0.1 | 间接依赖 | pip |
| flow | 间接依赖 | pip | |
| dataclasses | 0.6 | 间接依赖 | pip |
| mean_absolute_percentage_error | 间接依赖 | pip | |
| python-dotenv | 1.0.0 | 间接依赖 | pip |
| pyarrow | 11.0dev | 间接依赖 | pip |
| psycopg2-binary | 2.9.5 | 间接依赖 | pip |
| evidently | 0.2.6 | 间接依赖 | pip |
| types-dataclasses | 0.6 | 间接依赖 | pip |
| types-python-dateutil | 2.8.19 | 间接依赖 | pip |
| DATABASE_URI | 间接依赖 | pip | |
| create_engine | 间接依赖 | pip | |
| altair | 4.0 | 间接依赖 | pip |
| wheel | 0.35.1 | 间接依赖 | pip |
| pytest | 6.2.5 | 间接依赖 | pip |
| tqdm | 4.65.0 | 间接依赖 | pip |
| setuptools | 50.3.2 | 间接依赖 | pip |
| typer | 0.3 | 间接依赖 | pip |
| Text | 间接依赖 | pip | |
| streamlit | 1.19.0 | 间接依赖 | pip |
| isort | 5.10.1 | 间接依赖 | pip |
| seaborn | 0.12.2 | 间接依赖 | pip |
| flake8 | 4.0.1 | 间接依赖 | pip |
| statsmodels | 0.12.2 | 间接依赖 | pip |
| watchdog | 3.0.0 | 间接依赖 | pip |
| psycopg2 | 2.9.5 | 间接依赖 | pip |
| task | 间接依赖 | pip | |
| pyyaml | 5.1 | 间接依赖 | pip |
| types-requests | 2.26.0 | 间接依赖 | pip |
| requirements.txt | 间接依赖 | pip | |
| starlette | 间接依赖 | pip | |
| iterative-telemetry | 0.0.5 | 间接依赖 | pip |
| PIL | 间接依赖 | pip | |
| matplotlib | 3.7.0 | 间接依赖 | pip |
| pydantic | 1.10 | 间接依赖 | pip |
| src | 间接依赖 | pip | |
| Dict | 间接依赖 | pip | |
| DATA_COLUMNS | 间接依赖 | pip | |
| rich | 13 | 间接依赖 | pip |
| mlflow | 2.4.2 | 间接依赖 | pip |
| sqlalchemy | 2.0.12 | 间接依赖 | pip |
| Callable | 间接依赖 | pip | |
| nltk | 3.6.7 | 间接依赖 | pip |
| scikit-learn | 0.24.0 | 间接依赖 | pip |
| black | 22.8.0 | 间接依赖 | pip |
| jupyter_contrib_nbextensions | 0.7.0 | 间接依赖 | pip |
| gitpython | 3.1.30 | 间接依赖 | pip |
| List | 间接依赖 | pip | |
| scipy | 1.5.4 | 间接依赖 | pip |
| requests | 2.21.0 | 间接依赖 | pip |
| mean_absolute_error | 间接依赖 | pip | |
| python-box | 5.4.1 | 间接依赖 | pip |
| httpx | 0.23.3 | 间接依赖 | pip |
| prefect | 2.12.0 | 间接依赖 | pip |
| pillow | 9.5.0 | 间接依赖 | pip |
| pandas | 1.3.5 | 间接依赖 | pip |
| config | 间接依赖 | pip | |
| fsspec | 间接依赖 | pip | |
| jupyter | 1.0.0 | 间接依赖 | pip |
| joblib | 1.2.0 | 间接依赖 | pip |