基础信息
项目名称:aerys/minko
项目徽章:
仓库地址:https://github.com/pterodactyl/panel
检测报告地址:https://www.murphysec.com/console/report/1715553317685084160/1715553318121291776
此报告由Murphysec提供
漏洞列表
| 漏洞名称 | 漏洞类型 | MPS编号 | CVE编号 | 漏洞等级 |
|---|---|---|---|---|
| Lua 缓冲区溢出漏洞 | 缓冲区溢出 | MPS-2014-4296 | CVE-2014-5461 | 中危 |
| OpenSSL 信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2017-12484 | CVE-2017-3736 | 中危 |
| GNU Libiberty 安全漏洞 | 输入验证不恰当 | MPS-2017-1331 | CVE-2016-6131 | 高危 |
| libiberty 数字错误漏洞 | 整数溢出或环绕 | MPS-2017-2066 | CVE-2016-2226 | 高危 |
| libiberty 安全漏洞 | UAF | MPS-2017-2070 | CVE-2016-4487 | 中危 |
| libiberty 安全漏洞 | UAF | MPS-2017-2071 | CVE-2016-4488 | 中危 |
| libiberty 数字错误漏洞 | 整数溢出或环绕 | MPS-2017-2072 | CVE-2016-4489 | 中危 |
| libiberty 数字错误漏洞 | 整数溢出或环绕 | MPS-2017-2073 | CVE-2016-4490 | 中危 |
| libiberty 安全漏洞 | 缓冲区溢出 | MPS-2017-2074 | CVE-2016-4491 | 中危 |
| libiberty 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2017-2075 | CVE-2016-4492 | 中危 |
| libiberty 安全漏洞 | 越界读取 | MPS-2017-2076 | CVE-2016-4493 | 中危 |
| OpenSSL NULL指针取消引用漏洞 | 空指针取消引用 | MPS-2017-5085 | CVE-2017-3730 | 高危 |
| OpenSSL 缓冲区错误漏洞 | 越界读取 | MPS-2017-5086 | CVE-2017-3731 | 高危 |
| OpenSSL 信息泄露漏洞 | 未授权敏感信息泄露 | MPS-2017-5087 | CVE-2017-3732 | 中危 |
| OpenSSL 安全漏洞 | 输入验证不恰当 | MPS-2017-5088 | CVE-2017-3733 | 高危 |
| OpenSSL 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2017-9606 | CVE-2017-3735 | 中危 |
| GNU Binutils 安全漏洞 | 不可达退出条件的循环(无限循环) | MPS-2018-14162 | CVE-2018-18700 | 中危 |
| OpenSSL 加密问题漏洞 | 密码算法不安全 | MPS-2018-14230 | CVE-2018-0735 | 中危 |
| OpenSSL 加密问题漏洞 | 密码算法不安全 | MPS-2018-14285 | CVE-2018-0734 | 中危 |
| OpenSSL 信息泄露漏洞 | 通过差异性导致的信息暴露 | MPS-2018-14899 | CVE-2018-5407 | 中危 |
| OpenSSL 输入验证错误漏洞 | 不安全的缺省变量初始化 | MPS-2018-3749 | CVE-2018-0733 | 中危 |
| OpenSSL 资源管理错误漏洞 | 未经控制的递归 | MPS-2018-3750 | CVE-2018-0739 | 中危 |
| OpenSSL 加密问题漏洞 | 密码算法不安全 | MPS-2018-4731 | CVE-2018-0737 | 中危 |
| Openssl OpenSSL 加密问题漏洞 | 密钥管理错误 | MPS-2018-7822 | CVE-2018-0732 | 高危 |
| GNU Binutils GNU libiberty 安全漏洞 | 拒绝服务 | MPS-2018-8266 | CVE-2018-12698 | 高危 |
| Lua 资源管理错误漏洞 | UAF | MPS-2019-0958 | CVE-2019-6706 | 高危 |
| OpenSSL 安全漏洞 | 服务端安全的客户端实施 | MPS-2019-11271 | CVE-2019-1547 | 中危 |
| OpenSSL 安全漏洞 | 密码算法不安全 | MPS-2019-11273 | CVE-2019-1563 | 低危 |
| libssh2 输入验证错误漏洞 | 整数溢出或环绕 | MPS-2019-13574 | CVE-2019-17498 | 高危 |
| GNU Binutils 缓冲区错误漏洞 | 越界读取 | MPS-2019-1889 | CVE-2019-9070 | 高危 |
| OpenSSL 安全特征问题漏洞 | 使用不充分的随机数 | MPS-2019-2244 | CVE-2019-1543 | 高危 |
| libssh2 缓冲区错误漏洞 | 越界读取 | MPS-2019-2740 | CVE-2019-3859 | 严重 |
| libssh2 缓冲区错误漏洞 | 越界读取 | MPS-2019-2741 | CVE-2019-3862 | 严重 |
| libssh2 输入验证错误漏洞 | 越界写入 | MPS-2019-2857 | CVE-2019-3855 | 高危 |
| libssh2 缓冲区错误漏洞 | 越界读取 | MPS-2019-2858 | CVE-2019-3858 | 严重 |
| libssh2 缓冲区错误漏洞 | 越界写入 | MPS-2019-2943 | CVE-2019-3863 | 高危 |
| libssh2 输入验证错误漏洞 | 越界写入 | MPS-2019-2954 | CVE-2019-3856 | 高危 |
| libssh2 输入验证错误漏洞 | 越界写入 | MPS-2019-2955 | CVE-2019-3857 | 高危 |
| libssh2 缓冲区错误漏洞 | 越界读取 | MPS-2019-2956 | CVE-2019-3860 | 严重 |
| libssh2 缓冲区错误漏洞 | 越界读取 | MPS-2019-2957 | CVE-2019-3861 | 严重 |
| libssh2 输入验证错误漏洞 | 整数溢出或环绕 | MPS-2019-8078 | CVE-2019-13115 | 高危 |
| OpenSSL 信任管理问题漏洞 | 证书验证不恰当 | MPS-2019-8829 | CVE-2019-1552 | 低危 |
| Lua 资源管理错误漏洞 | 越界写入 | MPS-2020-10733 | CVE-2020-15888 | 高危 |
| Lua 缓冲区错误漏洞 | 越界读取 | MPS-2020-10734 | CVE-2020-15889 | 严重 |
| Lua 安全漏洞 | MPS-2020-10861 | CVE-2020-15945 | 中危 | |
| Lua 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2020-11559 | CVE-2020-24342 | 高危 |
| Lua 代码问题漏洞 | 空指针取消引用 | MPS-2020-11623 | CVE-2020-24369 | 高危 |
| Lua 数字错误漏洞 | 超界折返 | MPS-2020-11624 | CVE-2020-24370 | 中危 |
| Lua 安全漏洞 | 对无效指针或索引的释放 | MPS-2020-11625 | CVE-2020-24371 | 中危 |
| OpenSSL 空指针取消引用漏洞 | 空指针取消引用 | MPS-2020-17574 | CVE-2020-1971 | 中危 |
| libssh2 缓冲区错误漏洞 | 越界写入 | MPS-2020-31210 | CVE-2020-22218 | 高危 |
| OpenSSL 缓冲区错误漏洞 | 越界读取 | MPS-2021-17869 | CVE-2021-3712 | 高危 |
| OpenSSL 加密问题漏洞 | 加密强度不足 | MPS-2021-1869 | CVE-2021-23839 | 低危 |
| GNU libiberty 缓冲区错误漏洞 | 缓冲区溢出 | MPS-2021-32366 | CVE-2021-3826 | 高危 |
| Lua 缓冲区错误漏洞 | 未经控制的递归 | MPS-2021-35333 | CVE-2021-43519 | 中危 |
| Openssl 空指针取消引用漏洞 | 空指针取消引用 | MPS-2021-3619 | CVE-2021-3449 | 中危 |
| Lua 安全漏洞 | UAF | MPS-2021-38463 | CVE-2021-44964 | 中危 |
| Open Asset Import Library 缓冲区错误漏洞 | 越界写入 | MPS-2021-40079 | CVE-2021-45948 | 中危 |
| Lua 安全漏洞 | 越界写入 | MPS-2022-0033 | CVE-2021-45985 | 高危 |
| Lua 安全漏洞 | 越界写入 | MPS-2022-18230 | CVE-2022-33099 | 高危 |
| Open Asset Import Library 安全漏洞 | 越界读取 | MPS-2022-55770 | CVE-2022-38528 | 中危 |
| assimp 资源管理错误漏洞 | UAF | MPS-2022-65036 | CVE-2022-45748 | 高危 |
| Lua 缓冲区错误漏洞 | 越界读取 | MPS-2022-7875 | CVE-2022-28805 | 严重 |
| curl 授权问题漏洞 | 使用基本弱点进行的认证绕过 | MPS-2023-6829 | CVE-2023-27535 | 中危 |
| libcurl cookie注入漏洞 | 文件名或路径的外部可控制 | MPS-dfeg-sk6o | CVE-2023-38546 | 低危 |
| OpenSSL 安全漏洞 | 过度迭代 | MPS-n3pe-ljgc | CVE-2023-3817 | 中危 |
缺陷组件
| 组件名称 | 版本 | 最小修复版本 | 依赖关系 | 修复建议 |
|---|---|---|---|---|
| lua | 5.1.4 | 5.4.4 | 间接依赖 | 建议修复 |
| openssl | 1.1.0c | 3.1.3 | 间接依赖 | 建议修复 |
| libcurl | 7.61.1 | 8.4.0 | 间接依赖 | 建议修复 |
| openssl | 1.1.0f | 3.1.3 | 间接依赖 | 建议修复 |
| libssh2 | 1.8.0 | 1.11.0 | 间接依赖 | 建议修复 |
| libiberty | 9.1.0 | 20220713-1 | 间接依赖 | 建议修复 |
| openssl | 1.1.0j | 3.1.3 | 间接依赖 | 建议修复 |
| assimp | 5.1.0 | 5.1.1~ds0-1 | 间接依赖 | 可选修复 |
许可证风险
| 许可证类型 | 相关组件 | 许可证风险 |
|---|---|---|
| BSD-3-Clause | 5 | 低 |
| OpenSSL | 4 | 低 |
| BSL-1.0 | 2 | 低 |
| MIT | 3 | 低 |
| LGPL-2.1 | 1 | 中 |
| Zlib | 4 | 低 |
| ISC | 1 | 低 |
SBOM清单
| 组件名称 | 组件版本 | 是否直接依赖 | 仓库 |
|---|---|---|---|
| SHELL32.dll | 间接依赖 | ||
| libdl.so | 间接依赖 | ||
| assimp | 间接依赖 | ||
| api-ms-win-crt-runtime-l1-1-0.dll | 间接依赖 | ||
| WINMM.dll | 间接依赖 | ||
| GDI32.dll | 间接依赖 | ||
| assimp | 5.1.0 | 间接依赖 | |
| openssl | 1.1.0c | 间接依赖 | |
| asio | 间接依赖 | ||
| IMM32.dll | 间接依赖 | ||
| api-ms-win-crt-utility-l1-1-0.dll | 间接依赖 | ||
| api-ms-win-crt-stdio-l1-1-0.dll | 间接依赖 | ||
| SDL2.dll | 间接依赖 | ||
| libm.so | 间接依赖 | ||
| RPCRT4.dll | 间接依赖 | ||
| USER32.dll | 间接依赖 | ||
| api-ms-win-crt-filesystem-l1-1-0.dll | 间接依赖 | ||
| VERSION.dll | 间接依赖 | ||
| api-ms-win-crt-convert-l1-1-0.dll | 间接依赖 | ||
| libcurl | 7.61.1 | 间接依赖 | |
| libiberty | 9.1.0 | 间接依赖 | |
| raylib | 3.5.0 | 间接依赖 | |
| poly2tri | cci.20130502 | 间接依赖 | |
| libm.so.6 | 间接依赖 | ||
| api-ms-win-crt-heap-l1-1-0.dll | 间接依赖 | ||
| websocketpp | 间接依赖 | ||
| openssl | 1.1.0f | 间接依赖 | |
| libc++_shared.so | 间接依赖 | ||
| /System/Library/Frameworks/CoreServices.framework/Versions/A/CoreServices | 间接依赖 | ||
| openssl | 1.1.0j | 间接依赖 | |
| libssh2 | 1.8.0 | 间接依赖 | |
| liblog.so | 间接依赖 | ||
| lua | 5.1.4 | 间接依赖 | |
| libogg-0.dll | 间接依赖 | ||
| api-ms-win-crt-math-l1-1-0.dll | 间接依赖 | ||
| Normaliz.dll | 间接依赖 | ||
| msgpack | 间接依赖 | ||
| crunch | cci.20190615 | 间接依赖 | |
| SHELL32.DLL | 间接依赖 | ||
| openssl | 间接依赖 | ||
| WLDAP32.dll | 间接依赖 | ||
| D3DCOMPILER_43.dll | 间接依赖 | ||
| zlib | 间接依赖 | ||
| /System/Library/Frameworks/CoreFoundation.framework/Versions/A/CoreFoundation | 间接依赖 | ||
| libc.so | 间接依赖 | ||
| OLEAUT32.dll | 间接依赖 | ||
| libdl.so.2 | 间接依赖 | ||
| crunch | 间接依赖 | ||
| api-ms-win-crt-string-l1-1-0.dll | 间接依赖 | ||
| libvorbis-0.dll | 间接依赖 | ||
| KERNEL32.dll | 间接依赖 | ||
| CRYPT32.dll | 间接依赖 | ||
| libc.so.6 | 间接依赖 | ||
| api-ms-win-crt-environment-l1-1-0.dll | 间接依赖 | ||
| ole32.dll | 间接依赖 | ||
| /usr/lib/libSystem.B.dylib | 间接依赖 | ||
| api-ms-win-crt-time-l1-1-0.dll | 间接依赖 | ||
| sdl | 间接依赖 | ||
| /usr/lib/libgcc_s.1.dylib | 间接依赖 | ||
| bullet3 | 间接依赖 | ||
| msvcrt.dll | 间接依赖 | ||
| d3d9.dll | 间接依赖 | ||
| WINMM.DLL | 间接依赖 | ||
| libcrypto.so | 间接依赖 | ||
| OPENGL32.dll | 间接依赖 | ||
| wldap32.dll | 间接依赖 | ||
| VCRUNTIME140.dll | 间接依赖 | ||
| IMM32.DLL | 间接依赖 | ||
| WS2_32.dll | 间接依赖 | ||
| ADVAPI32.dll | 间接依赖 |