aquanlerou/WeHalo 软件分析报告

2023年10月23日下午6:28 • 软件分析

目录隐藏

4 许可证风险

基础信息

项目名称：aquanlerou/WeHalo

项目徽章：

仓库地址：https://github.com/pterodactyl/panel

检测报告地址：https://www.murphysec.com/console/report/1716000637950148608/1716000638113726464

此报告由Murphysec提供

漏洞列表

漏洞名称	漏洞类型	MPS编号	CVE编号	漏洞等级
lodash.set 存在拒绝服务漏洞	拒绝服务	MPS-2022-13843		高危
jsonwebtoken远程代码执行漏洞	代码注入	MPS-2022-1956	CVE-2022-23529	高危
jsonwebtoken 加密问题漏洞	密码算法不安全	MPS-2022-1966	CVE-2022-23539	高危
jsonwebtoken 数据伪造问题漏洞	密码学签名的验证不恰当	MPS-2022-1967	CVE-2022-23540	高危
JsonWebToken	身份验证不当	MPS-2022-1968	CVE-2022-23541	中危
node-semver 安全漏洞	ReDoS	MPS-2022-5166	CVE-2022-25883	高危
xml2js 安全漏洞	原型污染	MPS-2023-4673	CVE-2023-0842	中危
tough-cookie 安全漏洞	原型污染	MPS-2023-5130	CVE-2023-26136	严重
request SSRF防御绕过漏洞	SSRF	MPS-2023-7722	CVE-2023-28155	中危
tough-cookie	原型污染	MPS-esyq-56vx		中危
protobuf.js 安全漏洞	原型污染	MPS-ql7z-axpv	CVE-2023-36665	严重

缺陷组件

组件名称	版本	最小修复版本	依赖关系	修复建议
tough-cookie	2.5.0	4.1.3	间接依赖	建议修复
protobufjs	6.11.3	7.2.4	间接依赖	建议修复
jsonwebtoken	8.5.1	9.0.0	间接依赖	建议修复
lodash.set	4.3.2		间接依赖	建议修复
request	2.88.2		间接依赖	可选修复
xml2js	0.4.23	0.5.0	间接依赖	可选修复
semver	5.7.1	7.5.2	间接依赖	可选修复

许可证风险

许可证类型	相关组件	许可证风险
MIT	85	低
ISC	9	低
BSD-3-Clause	18	低
Apache-2.0	10	低
0BSD	1	低
BSD-2-Clause	1	低
Unlicense	1	低

SBOM清单

组件名称	组件版本	是否直接依赖	仓库
wx-server-sdk	2.6.3	直接依赖	npm
@cloudbase/node-sdk	2.9.1	间接依赖	npm
bluebird	3.7.2	间接依赖	npm
jsprim	1.4.2	间接依赖	npm
lodash.isplainobject	4.0.6	间接依赖	npm
request-promise-core	1.1.4	间接依赖	npm
ms	2.1.2	间接依赖	npm
@types/long	4.0.2	间接依赖	npm
bignumber.js	9.1.1	间接依赖	npm
tcb-admin-node	1.23.0	间接依赖	npm
arg	4.1.3	间接依赖	npm
has-tostringtag	1.0.0	间接依赖	npm
@protobufjs/inquire	1.1.0	间接依赖	npm
typescript	4.9.5	直接依赖	npm
base64-js	1.5.1	间接依赖	npm
http-signature	1.2.0	间接依赖	npm
assert-plus	1.0.0	间接依赖	npm
request	2.88.2	间接依赖	npm
extend	3.0.2	间接依赖	npm
har-schema	2.0.0	间接依赖	npm
source-map	0.6.1	间接依赖	npm
buffer-equal-constant-time	1.0.1	间接依赖	npm
lodash.set	4.3.2	间接依赖	npm
verror	1.10.0	间接依赖	npm
mime-types	2.1.35	间接依赖	npm
safe-buffer	5.2.1	间接依赖	npm
xmlbuilder	11.0.1	间接依赖	npm
lodash.isboolean	3.0.3	间接依赖	npm
humanize-ms	1.2.1	间接依赖	npm
json-schema-traverse	0.4.1	间接依赖	npm
dashdash	1.14.1	间接依赖	npm
performance-now	2.1.0	间接依赖	npm
asn1	0.2.6	间接依赖	npm
lodash	4.17.21	间接依赖	npm
caseless	0.12.0	间接依赖	npm
psl	1.9.0	间接依赖	npm
tslib	1.14.1	间接依赖	npm
long	4.0.0	间接依赖	npm
source-map-support	0.5.21	间接依赖	npm
@types/clone	0.1.30	间接依赖	npm
form-data	2.3.3	间接依赖	npm
@protobufjs/float	1.0.2	间接依赖	npm
qs	6.5.3	间接依赖	npm
jws	3.2.2	间接依赖	npm
@protobufjs/fetch	1.1.0	间接依赖	npm
fast-deep-equal	3.1.3	间接依赖	npm
url	0.11.0	间接依赖	npm
lodash.once	4.1.1	间接依赖	npm
@cloudbase/signature-nodejs	1.0.0-beta.0	间接依赖	npm
sshpk	1.17.0	间接依赖	npm
buffer-from	1.1.2	间接依赖	npm
ajv	6.12.6	间接依赖	npm
tough-cookie	2.5.0	间接依赖	npm
stealthy-require	1.1.1	间接依赖	npm
lodash.clonedeep	4.5.0	间接依赖	npm
depd	1.1.2	间接依赖	npm
punycode	2.3.0	间接依赖	npm
yn	3.1.1	间接依赖	npm
axios	0.21.4	间接依赖	npm
request-promise	4.2.6	间接依赖	npm
aws-sign2	0.7.0	间接依赖	npm
@types/node	18.13.0	间接依赖	npm
ecc-jsbn	0.1.2	间接依赖	npm
agentkeepalive	4.2.1	间接依赖	npm
delayed-stream	1.0.0	间接依赖	npm
semver	5.7.1	间接依赖	npm
debug	4.3.4	间接依赖	npm
bcrypt-pbkdf	1.0.2	间接依赖	npm
safer-buffer	2.1.2	间接依赖	npm
lodash.merge	4.6.2	间接依赖	npm
fast-json-stable-stringify	2.1.0	间接依赖	npm
uri-js	4.4.1	间接依赖	npm
combined-stream	1.0.8	间接依赖	npm
retry	0.12.0	间接依赖	npm
buffer	5.7.1	间接依赖	npm
@protobufjs/eventemitter	1.1.0	间接依赖	npm
lodash.includes	4.3.0	间接依赖	npm
json-schema	0.4.0	间接依赖	npm
has-symbols	1.0.3	间接依赖	npm
asynckit	0.4.0	间接依赖	npm
lodash.isinteger	4.0.4	间接依赖	npm
jsbn	0.1.1	间接依赖	npm
has	1.0.3	间接依赖	npm
jwa	1.4.1	间接依赖	npm
lodash.unset	4.5.2	间接依赖	npm
json-stringify-safe	5.0.1	间接依赖	npm
follow-redirects	1.15.2	间接依赖	npm
ecdsa-sig-formatter	1.0.11	间接依赖	npm
lodash.isnumber	3.0.3	间接依赖	npm
ieee754	1.2.1	间接依赖	npm
@protobufjs/base64	1.1.2	间接依赖	npm
clone	2.1.2	间接依赖	npm
protobufjs	6.11.3	间接依赖	npm
oauth-sign	0.9.0	间接依赖	npm
is-regex	1.1.4	间接依赖	npm
make-error	1.3.6	间接依赖	npm
mime-db	1.52.0	间接依赖	npm
uuid	3.4.0	间接依赖	npm
bson	4.7.2	间接依赖	npm
@protobufjs/codegen	2.0.4	间接依赖	npm
xml2js	0.4.23	间接依赖	npm
@cloudbase/database	1.4.1	间接依赖	npm
tunnel-agent	0.6.0	间接依赖	npm
jsonwebtoken	8.5.1	间接依赖	npm
@protobufjs/pool	1.1.0	间接依赖	npm
@protobufjs/utf8	1.1.0	间接依赖	npm
function-bind	1.1.1	间接依赖	npm
is-stream	2.0.1	间接依赖	npm
sax	1.2.4	间接依赖	npm
getpass	0.1.7	间接依赖	npm
get-intrinsic	1.2.0	间接依赖	npm
ts-node	8.10.2	间接依赖	npm
json-bigint	1.0.0	间接依赖	npm
lodash.isstring	4.0.1	间接依赖	npm
@types/retry	0.12.2	间接依赖	npm
call-bind	1.0.2	间接依赖	npm
isstream	0.1.2	间接依赖	npm
tweetnacl	0.14.5	间接依赖	npm
@protobufjs/aspromise	1.1.2	间接依赖	npm
aws4	1.12.0	间接依赖	npm
forever-agent	0.6.1	间接依赖	npm
diff	4.0.2	间接依赖	npm
extsprintf	1.3.0	间接依赖	npm
@protobufjs/path	1.1.2	间接依赖	npm
is-typedarray	1.0.0	间接依赖	npm
har-validator	5.1.5	间接依赖	npm
querystring	0.2.0	间接依赖	npm

SBOM 开源软件漏洞

赞 (0)

aquametalabs/aquameta 软件分析报告

上一篇 2023年10月23日

aquasecurity/cloud-security-remediation-guides 软件分析报告

下一篇 2023年10月23日

hoppscotch/hoppscotch 软件分析报告

基础信息项目名称：hoppscotch/hoppscotch 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1718651416159584256/1726510818449121280 此报告由Murphyse…

软件分析 2023年11月20日
00
alibaba/canal 软件分析报告

基础信息项目名称：alibaba/canal 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1744265428133265408/1744265428493975552 此报告由Murphysec提供漏洞列表…

软件分析 2024年1月8日
00
houyhea/log4web 软件分析报告

基础信息项目名称：houyhea/log4web 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1718665433984925696/1718665434928644096 此报告由Murphysec提供漏洞…

软件分析 2023年10月30日
00
google/cronutils 软件分析报告

基础信息项目名称：google/cronutils 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1718214318859534336/1718214319144747008 此报告由Murphysec提供漏…

软件分析 2023年10月28日
00
js-sdsl/js-sdsl 软件分析报告

基础信息项目名称：js-sdsl/js-sdsl 项目徽章：仓库地址：https://github.com/pterodactyl/panel 检测报告地址：https://www.murphysec.com/console/report/1721322844783673344/1730532762400022528 此报告由Murphysec提供漏洞…

软件分析 2023年12月1日
00