基础信息
项目名称:iflytek/iflearner
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1715373425131569152/1715373441636155392
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| NumPy 安全漏洞 | 不充分的比较 | MPS-2021-25631 | CVE-2021-34141 | 中危 |
| NumPy 代码问题漏洞 | 空指针取消引用 | MPS-2021-32278 | CVE-2021-41495 | 中危 |
| NumPy 安全漏洞 | 经典缓冲区溢出 | MPS-2021-32279 | CVE-2021-41496 | 中危 |
| Google TensorFlow 目录穿越漏洞 | 路径遍历 | MPS-2021-9211 | CVE-2021-35958 | 严重 |
| loguru 代码注入漏洞 | 代码注入 | MPS-2022-1393 | CVE-2022-0329 | 严重 |
| Python 安全漏洞 | ReDoS | MPS-2022-57238 | CVE-2022-40897 | 中危 |
| Google TensorFlow BaseCandidateSamplerOp缓冲区错误漏洞 | 越界读取 | MPS-2022-58517 | CVE-2022-41880 | 严重 |
| Google TensorFlow缓冲区溢出漏洞 | 越界读取 | MPS-2022-58520 | CVE-2022-41883 | 高危 |
| Google TensorFlow存在未明漏洞 | 控制流实现总是不正确 | MPS-2022-58521 | CVE-2022-41884 | 高危 |
| Google TensorFlow tf.raw_ops.FusedResizeAndPadConv2D缓冲区溢出漏洞 | 缓冲区大小计算不正确 | MPS-2022-58522 | CVE-2022-41885 | 高危 |
| Google TensorFlow tf.raw_ops.ImageProjectiveTransformV2缓冲区溢出漏洞 | 缓冲区大小计算不正确 | MPS-2022-58523 | CVE-2022-41886 | 高危 |
| Google TensorFlow tf.keras.losses.poisson缓冲区溢出漏洞 | 缓冲区大小计算不正确 | MPS-2022-58524 | CVE-2022-41887 | 高危 |
| Google TensorFlow 拒绝服务漏洞 | 拒绝服务 | MPS-2022-58525 | CVE-2022-41888 | 高危 |
| Google TensorFlow代码问题漏洞 | 空指针取消引用 | MPS-2022-58526 | CVE-2022-41889 | 高危 |
| Google TensorFlow缓冲区溢出漏洞 | 不正确的类型转换 | MPS-2022-58527 | CVE-2022-41890 | 高危 |
| Google TensorFlow 安全漏洞 | MPS-2022-58528 | CVE-2022-41891 | 高危 | |
| Google TensorFlow 安全漏洞 | 可达断言 | MPS-2022-58530 | CVE-2022-41893 | 高危 |
| Google TensorFlow存在未明漏洞 | 经典缓冲区溢出 | MPS-2022-58531 | CVE-2022-41894 | 高危 |
| TensorFlow 存在越界读取漏洞 | 越界读取 | MPS-2022-58532 | CVE-2022-41895 | 中危 |
| Google TensorFlow 输入验证错误漏洞 | 输入中指定数量的验证不当 | MPS-2022-58533 | CVE-2022-41896 | 高危 |
| Google TensorFlow缓冲区溢出漏洞 | 越界读取 | MPS-2022-58534 | CVE-2022-41897 | 高危 |
| Google TensorFlow 安全漏洞 | MPS-2022-58535 | CVE-2022-41898 | 高危 | |
| Google TensorFlow 输入验证错误漏洞 | 可达断言 | MPS-2022-58536 | CVE-2022-41899 | 高危 |
| Google TensorFlow缓冲区溢出漏洞 | 越界写入 | MPS-2022-58537 | CVE-2022-41900 | 严重 |
| TensorFlow 存在输入验证不当漏洞 | 拒绝服务 | MPS-2022-58538 | CVE-2022-41901 | 中危 |
| TensorFlow 存在越界写入漏洞 | 越界写入 | MPS-2022-58539 | CVE-2022-41902 | 高危 |
| Google TensorFlow缓冲区溢出漏洞 | 缓冲区大小计算不正确 | MPS-2022-58544 | CVE-2022-41907 | 高危 |
| Google TensorFlow输入验证错误漏洞 | 拒绝服务 | MPS-2022-58545 | CVE-2022-41908 | 高危 |
| Google TensorFlow 代码问题漏洞 | 空指针取消引用 | MPS-2022-58546 | CVE-2022-41909 | 高危 |
| TensorFlow 存在越界读取漏洞 | 越界读取 | MPS-2022-58547 | CVE-2022-41910 | 中危 |
| Google TensorFlow代码问题漏洞 | 不正确的类型转换 | MPS-2022-58548 | CVE-2022-41911 | 高危 |
| PyTorch 命令注入漏洞 | 代码注入 | MPS-2022-65270 | CVE-2022-45907 | 严重 |
| Google TensorFlow 缓冲区错误漏洞 | 越界读取 | MPS-2023-4417 | CVE-2023-25658 | 高危 |
| Google TensorFlow 缓冲区错误漏洞 | 越界读取 | MPS-2023-4418 | CVE-2023-25659 | 高危 |
| Google TensorFlow 代码问题漏洞 | 空指针取消引用 | MPS-2023-4419 | CVE-2023-25660 | 高危 |
| Google TensorFlow 输入验证错误漏洞 | 整数溢出或环绕 | MPS-2023-4421 | CVE-2023-25662 | 高危 |
| Google TensorFlow 代码问题漏洞 | 空指针取消引用 | MPS-2023-4422 | CVE-2023-25663 | 高危 |
| Google TensorFlow 安全漏洞 | 堆缓冲区溢出 | MPS-2023-4423 | CVE-2023-25664 | 严重 |
| Google TensorFlow 代码问题漏洞 | 空指针取消引用 | MPS-2023-4424 | CVE-2023-25665 | 高危 |
| Google TensorFlow 安全漏洞 | 不充分的比较 | MPS-2023-4425 | CVE-2023-25666 | 高危 |
| Google TensorFlow 输入验证错误漏洞 | 整数溢出或环绕 | MPS-2023-4426 | CVE-2023-25667 | 高危 |
| Google TensorFlow 安全漏洞 | 越界读取 | MPS-2023-4427 | CVE-2023-25668 | 严重 |
| Google TensorFlow 安全漏洞 | 不充分的比较 | MPS-2023-4428 | CVE-2023-25669 | 高危 |
| Google TensorFlow 代码问题漏洞 | 空指针取消引用 | MPS-2023-4429 | CVE-2023-25670 | 高危 |
| Google TensorFlow 缓冲区错误漏洞 | 越界写入 | MPS-2023-4430 | CVE-2023-25671 | 高危 |
| Google TensorFlow 代码问题漏洞 | 空指针取消引用 | MPS-2023-4431 | CVE-2023-25672 | 高危 |
| Google TensorFlow 安全漏洞 | 不充分的比较 | MPS-2023-4432 | CVE-2023-25673 | 高危 |
| Google TensorFlow 代码问题漏洞 | 空指针取消引用 | MPS-2023-4433 | CVE-2023-25674 | 高危 |
| Google TensorFlow 安全漏洞 | 不充分的比较 | MPS-2023-4434 | CVE-2023-25675 | 高危 |
| Google TensorFlow 代码问题漏洞 | 空指针取消引用 | MPS-2023-4435 | CVE-2023-25676 | 高危 |
| Google TensorFlow 资源管理错误漏洞 | 双重释放 | MPS-2023-4677 | CVE-2023-25801 | 高危 |
| Google TensorFlow 安全漏洞 | 不充分的比较 | MPS-2023-6912 | CVE-2023-27579 | 高危 |
| urllib3 安全漏洞 | 未授权敏感信息泄露 | MPS-46py-nxai | CVE-2023-45803 | 中危 |
| grpc不加限制或调节的资源分配漏洞 | 过度迭代 | MPS-7ht6-lm4j | CVE-2023-33953 | 高危 |
| urllib3 HTTP重定向信息泄露漏洞 | 未授权敏感信息泄露 | MPS-s0oy-afbw | CVE-2023-43804 | 高危 |
| Flask 安全漏洞 | 通过持久性Cookie导致的信息暴露 | MPS-y7qk-6aom | CVE-2023-30861 | 高危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| tensorflow | 2.9.1 | 2.12.0 | 间接依赖 | 建议修复 |
| urllib3 | 1.26.8 | 2.0.7 | 间接依赖 | 建议修复 |
| torch | 1.7.1 | 1.13.1 | 间接依赖 | 建议修复 |
| loguru | 0.6.0 | 间接依赖 | 建议修复 | |
| flask | 2.2.0 | 2.3.2 | 间接依赖 | 可选修复 |
| numpy | 1.21.6 | 1.22.2 | 间接依赖 | 可选修复 |
| grpcio | 1.46.3 | 1.56.2 | 间接依赖 | 可选修复 |
| setuptools | 62.3.2 | 65.5.1 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| LGPL-3.0+ | 1 | 低 |
| MIT | 11 | 低 |
| Apache-2.0 | 9 | 低 |
| 自定义许可证 | 8 | 低 |
| ISC | 2 | 低 |
| BSD-3-Clause | 2 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| transforms | 间接依赖 | pip | |
| gmpy2 | 2.1.2 | 间接依赖 | pip |
| recommonmark | 0.7.1 | 间接依赖 | pip |
| TransformerEncoder | 间接依赖 | pip | |
| mxnet | 1.9.1 | 间接依赖 | pip |
| requirements.txt | 间接依赖 | pip | |
| mkdocs-material | 8.3.8 | 间接依赖 | pip |
| flask | 2.2.0 | 间接依赖 | pip |
| LambdaLR | 间接依赖 | pip | |
| opacus | 1.1.3 | 间接依赖 | pip |
| keras | 2.9.0 | 间接依赖 | pip |
| loguru | 0.6.0 | 间接依赖 | pip |
| Callable | 间接依赖 | pip | |
| visualdl | 2.3.0 | 间接依赖 | pip |
| docformatter | 1.4 | 间接依赖 | pip |
| markdown | 3.3.7 | 间接依赖 | pip |
| grpcio-tools | 1.46.3 | 间接依赖 | pip |
| pytorch_trainer | 间接依赖 | pip | |
| cifar | 间接依赖 | pip | |
| pycryptodome | 3.14.1 | 间接依赖 | pip |
| mkdocs-static-i18n | 0.46 | 间接依赖 | pip |
| mkdocstrings-python | 0.7.1 | 间接依赖 | pip |
| StepLR | 间接依赖 | pip | |
| setuptools | 62.3.2 | 间接依赖 | pip |
| Conv2D | 间接依赖 | pip | |
| mkdocs | 1.3.0 | 间接依赖 | pip |
| IO | 间接依赖 | pip | |
| mkdocs-awesome-pages-plugin | 2.7.0 | 间接依赖 | pip |
| isort | 5.10.1 | 间接依赖 | pip |
| mkdocstrings | 0.19.0 | 间接依赖 | pip |
| grpcio | 1.46.3 | 间接依赖 | pip |
| flake8 | 4.0.1 | 间接依赖 | pip |
| urllib3 | 1.26.8 | 间接依赖 | pip |
| matplotlib | 3.3.4 | 间接依赖 | pip |
| iflearner | 间接依赖 | pip | |
| mkdocs-include-markdown-plugin | 3.6.1 | 间接依赖 | pip |
| train_client | 间接依赖 | pip | |
| mkdocs-gen-files | 0.3.5 | 间接依赖 | pip |
| torch | 1.7.1 | 间接依赖 | pip |
| mdx_gh_links | 0.2 | 间接依赖 | pip |
| tensorflow | 2.9.1 | 间接依赖 | pip |
| datasets | 间接依赖 | pip | |
| TransformerEncoderLayer | 间接依赖 | pip | |
| twine | 4.0.1 | 间接依赖 | pip |
| List | 间接依赖 | pip | |
| Any | 间接依赖 | pip | |
| mkdocs-render-swagger-plugin | 0.0.3 | 间接依赖 | pip |
| lightgallery | 0.5 | 间接依赖 | pip |
| protobuf | 3.19.4 | 间接依赖 | pip |
| torchvision | 0.8.2 | 间接依赖 | pip |
| Dense | 间接依赖 | pip | |
| numpy | 1.21.6 | 间接依赖 | pip |
| black | 22.3.0 | 间接依赖 | pip |
| mypy | 0.960 | 间接依赖 | pip |
| mkdocs-swagger-ui-tag | 0.3.0 | 间接依赖 | pip |