We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Trivy detects the following CVEs
Please would it be possible to upgrade the related packages to remove them ? :)
usr/bin/checkmake (gobinary) ============================ Total: 43 (HIGH: 40, CRITICAL: 3) ┌─────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ stdlib │ CVE-2022-23806 │ CRITICAL │ fixed │ 1.13.15 │ 1.16.14, 1.17.7 │ golang: crypto/elliptic: IsOnCurve returns true for invalid │ │ │ │ │ │ │ │ field elements │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23806 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24538 │ │ │ │ 1.19.8, 1.20.3 │ golang: html/template: backticks not treated as string │ │ │ │ │ │ │ │ delimiters │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24538 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24540 │ │ │ │ 1.19.9, 1.20.4 │ golang: html/template: improper handling of JavaScript │ │ │ │ │ │ │ │ whitespace │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24540 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-27918 │ HIGH │ │ │ 1.15.9, 1.16.1 │ golang: encoding/xml: infinite loop when using │ │ │ │ │ │ │ │ xml.NewTokenDecoder with a custom TokenReader │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-27918 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-33195 │ │ │ │ 1.15.13, 1.16.5 │ golang: net: lookup functions may return invalid host names │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33195 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-33196 │ │ │ │ │ golang: archive/zip: malformed archive may cause panic or │ │ │ │ │ │ │ │ memory exhaustion │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33196 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-33198 │ │ │ │ │ golang: math/big.Rat: may cause a panic or an unrecoverable │ │ │ │ │ │ │ │ fatal error if... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33198 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-39293 │ │ │ │ 1.16.8, 1.17.1 │ golang: archive/zip: malformed archive may cause panic or │ │ │ │ │ │ │ │ memory exhaustion (incomplete fix... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-39293 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-41771 │ │ │ │ 1.16.10, 1.17.3 │ golang: debug/macho: invalid dynamic symbol table command │ │ │ │ │ │ │ │ can cause panic │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-41771 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-41772 │ │ │ │ │ golang: archive/zip: Reader.Open panics on empty string │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-41772 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-44716 │ │ │ │ 1.16.12, 1.17.5 │ golang: net/http: limit growth of header canonicalization │ │ │ │ │ │ │ │ cache │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44716 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-23772 │ │ │ │ 1.16.14, 1.17.7 │ golang: math/big: uncontrolled memory consumption due to an │ │ │ │ │ │ │ │ unhandled overflow via Rat.SetString... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23772 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-24675 │ │ │ │ 1.17.9, 1.18.1 │ golang: encoding/pem: fix stack overflow in Decode │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24675 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-24921 │ │ │ │ 1.16.15, 1.17.8 │ golang: regexp: stack exhaustion via a deeply nested │ │ │ │ │ │ │ │ expression │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24921 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-27664 │ │ │ │ 1.18.6, 1.19.1 │ golang: net/http: handle server errors after sending GOAWAY │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-28[131](https://github.com/oxsecurity/megalinter/actions/runs/9006221553/job/24743267140?pr=3540#step:10:132) │ │ │ │ 1.17.12, 1.18.4 │ golang: encoding/xml: stack exhaustion in Decoder.Skip │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-28131 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-28327 │ │ │ │ 1.17.9, 1.18.1 │ golang: crypto/elliptic: panic caused by oversized scalar │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-28327 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-2879 │ │ │ │ 1.18.7, 1.19.2 │ golang: archive/tar: unbounded memory consumption when │ │ │ │ │ │ │ │ reading headers │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2879 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-2880 │ │ │ │ │ golang: net/http/httputil: ReverseProxy should not forward │ │ │ │ │ │ │ │ unparseable query parameters │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2880 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-29804 │ │ │ │ 1.17.11, 1.18.3 │ ELSA-2022-17957: ol8addon security update (IMPORTANT) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29804 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-30580 │ │ │ │ │ golang: os/exec: Code injection in Cmd.Start │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30580 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-30630 │ │ │ │ 1.17.12, 1.18.4 │ golang: io/fs: stack exhaustion in Glob │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30630 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-30631 │ │ │ │ │ golang: compress/gzip: stack exhaustion in Reader.Read │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30631 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-30632 │ │ │ │ │ golang: path/filepath: stack exhaustion in Glob │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30632 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-30633 │ │ │ │ │ golang: encoding/xml: stack exhaustion in Unmarshal │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30633 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-30634 │ │ │ │ 1.17.11, 1.18.3 │ ELSA-2022-17957: ol8addon security update (IMPORTANT) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30634 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-30635 │ │ │ │ 1.17.12, 1.18.4 │ golang: encoding/gob: stack exhaustion in Decoder.Decode │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-30635 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-32189 │ │ │ │ 1.17.13, 1.18.5 │ golang: math/big: decoding big.Float and big.Rat types can │ │ │ │ │ │ │ │ panic if the encoded... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32189 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-4[171](https://github.com/oxsecurity/megalinter/actions/runs/9006221553/job/24743267140?pr=3540#step:10:172)5 │ │ │ │ 1.18.7, 1.19.2 │ golang: regexp/syntax: limit memory used by parsing regexps │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41715 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41716 │ │ │ │ 1.18.8, 1.19.3 │ Due to unsanitized NUL values, attackers may be able to │ │ │ │ │ │ │ │ maliciously se... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41716 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-4[172](https://github.com/oxsecurity/megalinter/actions/runs/9006221553/job/24743267140?pr=3540#step:10:173)0 │ │ │ │ 1.18.9, 1.19.4 │ golang: os, net/http: avoid escapes from os.DirFS and │ │ │ │ │ │ │ │ http.Dir on Windows │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41720 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41722 │ │ │ │ 1.19.6, 1.20.1 │ golang: path/filepath: path-filepath filepath.Clean path │ │ │ │ │ │ │ │ traversal │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41722 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41723 │ │ │ │ │ net/http, golang.org/x/net/http2: avoid quadratic complexity │ │ │ │ │ │ │ │ in HPACK decoding │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41724 │ │ │ │ │ golang: crypto/tls: large handshake records may cause panics │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-[202](https://github.com/oxsecurity/megalinter/actions/runs/9006221553/job/24743267140?pr=3540#step:10:203)2-41724 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41725 │ │ │ │ │ golang: net/http, mime/multipart: denial of service from │ │ │ │ │ │ │ │ excessive resource consumption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41725 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24534 │ │ │ │ 1.19.8, 1.20.3 │ golang: net/http, net/textproto: denial of service from │ │ │ │ │ │ │ │ excessive memory allocation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24534 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24536 │ │ │ │ │ golang: net/http, net/textproto, mime/multipart: denial of │ │ │ │ │ │ │ │ service from excessive resource consumption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24536 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24537 │ │ │ │ │ golang: go/parser: Infinite loop in parsing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24537 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24539 │ │ │ │ 1.19.9, 1.20.4 │ golang: html/template: improper sanitization of CSS values │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24539 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-29400 │ │ │ │ │ golang: html/template: improper handling of empty HTML │ │ │ │ │ │ │ │ attributes │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29400 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-29403 │ │ │ │ 1.19.10, 1.20.5 │ golang: runtime: unexpected behavior of setuid/setgid │ │ │ │ │ │ │ │ binaries │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29403 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-45283 │ │ │ │ 1.20.11, 1.21.4, 1.20.12, 1.21.5 │ The filepath package does not recognize paths with a \??\ │ │ │ │ │ │ │ │ prefix as... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45283 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-45287 │ │ │ │ 1.20.0 │ golang: crypto/tls: Timing Side Channel attack in RSA based │ │ │ │ │ │ │ │ TLS key exchanges.... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45287 │ └─────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────┴──────────────────────────────────────────────────────────────┘
The text was updated successfully, but these errors were encountered:
No branches or pull requests
Trivy detects the following CVEs
Please would it be possible to upgrade the related packages to remove them ? :)
The text was updated successfully, but these errors were encountered: