基础信息
项目名称:modin-project/modin
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1755990951542198272/1755990951592529920
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| NumPy 代码问题漏洞 | 空指针取消引用 | MPS-2021-32278 | CVE-2021-41495 | 中危 |
| ray 存在竞争条件漏洞 | 竞争条件 | MPS-2022-15110 | 中危 | |
| lxml 和 libxml2 代码问题漏洞 | 空指针取消引用 | MPS-2022-46661 | CVE-2022-2309 | 高危 |
| Python 安全漏洞 | ReDoS | MPS-2022-57238 | CVE-2022-40897 | 中危 |
| SciPy 安全漏洞 | MPS-2023-4046 | CVE-2023-25399 | 中危 | |
| Ray | 路径遍历 | MPS-315e-ymlw | CVE-2023-6021 | 高危 |
| Ray 安全漏洞 | 授权检查缺失 | MPS-e8vx-mtqh | CVE-2023-6020 | 高危 |
| Apache Arrow PyArrow 任意代码执行 | 反序列化 | MPS-eck2-x5ys | CVE-2023-47248 | 高危 |
| Ray 操作系统命令注入漏洞 | OS命令注入 | MPS-k09s-lnj1 | CVE-2023-6019 | 严重 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| pyarrow | 7.0.0 | 14.0.1 | 间接依赖 | 建议修复 |
| ray | 1.1.0 | 2.8.1 | 间接依赖 | 建议修复 |
| lxml | 4.8.0 | 4.9.1 | 间接依赖 | 建议修复 |
| numpy | 1.22.4 | 间接依赖 | 可选修复 | |
| setuptools | 39.2.0 | 65.5.1 | 间接依赖 | 可选修复 |
| scipy | 1.8.1 | 1.10.0rc1 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| MIT | 16 | 低 |
| BSD-3-Clause | 12 | 低 |
| BSD-2-Clause | 3 | 低 |
| Apache License 2.0 | 2 | 低 |
| GPL-2.0 | 1 | 中 |
| 自定义许可证 | 4 | 低 |
| Python-2.0 | 1 | 低 |
| LGPL-3.0-only | 1 | 低 |
| Apache-2.0 | 4 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| openpyxl | 3.0.10 | 间接依赖 | pip |
| distributed | 2.22.0 | 间接依赖 | pip |
| pandas-gbq | 0.15.0 | 间接依赖 | pip |
| connectorx | 0.2.6a4 | 间接依赖 | pip |
| requirements-dev.txt | 间接依赖 | pip | |
| lxml | 4.8.0 | 间接依赖 | pip |
| chi2 | 间接依赖 | pip | |
| ray | 1.1.0 | 间接依赖 | pip |
| fuzzydata | 0.0.6 | 间接依赖 | pip |
| xlrd | 2.0.1 | 间接依赖 | pip |
| fastparquet | 0.8.1 | 间接依赖 | pip |
| numexpr | 2.8.5 | 间接依赖 | pip |
| flake8 | 6.0.0 | 间接依赖 | pip |
| moto | 4.1.0 | 间接依赖 | pip |
| mypy | 1.0.0 | 间接依赖 | pip |
| pygit2 | 1.9.2 | 间接依赖 | pip |
| isort | 5.12 | 间接依赖 | pip |
| Dense | 间接依赖 | pip | |
| Conv2D | 间接依赖 | pip | |
| fsspec | 2022.05.0 | 间接依赖 | pip |
| classification_report | 间接依赖 | pip | |
| flake8-print | 5.0.0 | 间接依赖 | pip |
| setuptools | 39.2.0 | 间接依赖 | pip |
| packaging | 21.0 | 间接依赖 | pip |
| matplotlib | 3.6.1 | 间接依赖 | pip |
| norm | 间接依赖 | pip | |
| MinMaxScaler | 间接依赖 | pip | |
| PyGithub | 1.58.0 | 间接依赖 | pip |
| Imputer | 间接依赖 | pip | |
| tqdm | 4.60.0 | 间接依赖 | pip |
| pyarrow | 7.0.0 | 间接依赖 | pip |
| tables | 3.7.0 | 间接依赖 | pip |
| pytest-xdist | 3.2.0 | 间接依赖 | pip |
| skew | 间接依赖 | pip | |
| sklearn | 间接依赖 | pip | |
| psutil | 5.8.0 | 间接依赖 | pip |
| Jinja2 | 3.1.2 | 间接依赖 | pip |
| sphinx | 6.0.0 | 间接依赖 | pip |
| pytest-cov | 4.0.0 | 间接依赖 | pip |
| pandas-stubs | 2.0.0 | 间接依赖 | pip |
| Perceptron | 间接依赖 | pip | |
| LogisticRegression | 间接依赖 | pip | |
| s3fs | 2022.05.0 | 间接依赖 | pip |
| black | 24.1.0 | 间接依赖 | pip |
| scipy | 1.8.1 | 间接依赖 | pip |
| pytest-benchmark | 4.0.0 | 间接依赖 | pip |
| numpy | 1.22.4 | 间接依赖 | pip |
| numpydoc | 1.1.0 | 间接依赖 | pip |
| SelectKBest | 间接依赖 | pip | |
| xarray | 2022.03.0 | 间接依赖 | pip |
| confusion_matrix | 间接依赖 | pip | |
| flake8-no-implicit-concat | 0.3.4 | 间接依赖 | pip |
| psycopg2-binary | 2.9.3 | 间接依赖 | pip |
| asv | 0.5.1 | 间接依赖 | pip |
| coverage | 7.1.0 | 间接依赖 | pip |
| pytest | 7.3.2 | 间接依赖 | pip |