Inconsistent output across "table", "json", and "cyclonedx" output with respect to scoring #5372

skandragon · 2023-10-12T17:02:26Z

skandragon
Oct 12, 2023

Description

When using the cyclonedx JSON output, it does not list the same scoring as the default "table" format, nor the "json" format.
Additionally, the link provided for the example CVE I'm including here links to the Aquasec page, which disagrees with the "table" and "json" formats, but kinda agrees with the "cyclonedx" output.

Desired Behavior

Consistent scoring with source references properly included.

Actual Behavior

Inconsistent scoring as described. Using multiple formats, which is the issue, but I listed "cyclonedx" in the issue...

Reproduction Steps

1. `trivy image nginx@sha256:61ab60b82e1a8a61f7bbba357cda18588a0f8ba93c3e638e080340d36d6ffc23 --scanners vuln --format table`
2. `trivy image nginx@sha256:61ab60b82e1a8a61f7bbba357cda18588a0f8ba93c3e638e080340d36d6ffc23 --scanners vuln --format json`
3. `trivy image nginx@sha256:61ab60b82e1a8a61f7bbba357cda18588a0f8ba93c3e638e080340d36d6ffc23 --scanners vuln --format cyclonedx`

Look up information about `CVE-2022-0563` in each.

1.  Note that in "table" it is listed as "low", and the URL points to https://avd.aquasec.com/nvd/2022/cve-2022-0563/
2.  Note that in "json" it is also listed as "low", and the URL points to https://avd.aquasec.com/nvd/2022/cve-2022-0563/
3.  Note that in the cyclonedx format, it does not include "low" anywhere, nor does it include a reference to the `debian` source.  The other sources list it as `medium` (and info, but meh)
4.  Note that the https://avd.aquasec.com/nvd/2022/cve-2022-0563/ page shows this as "medium", which disagrees with the "low" reported in "table" and "json"

Target

Container Image

Scanner

Vulnerability

Output Format

CycloneDX

Mode

Standalone

Debug Output

nginx@sha256:61ab60b82e1a8a61f7bbba357cda18588a0f8ba93c3e638e080340d36d6ffc23 (debian 12.2)
===========================================================================================
Total: 100 (UNKNOWN: 0, LOW: 76, MEDIUM: 18, HIGH: 6, CRITICAL: 0)

┌──────────────────┬──────────────────┬──────────┬──────────────┬─────────────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│     Library      │  Vulnerability   │ Severity │    Status    │    Installed Version    │ Fixed Version │                            Title                             │
├──────────────────┼──────────────────┼──────────┼──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ apt              │ CVE-2011-3374    │ LOW      │ affected     │ 2.6.1                   │               │ It was found that apt-key in apt, all versions, do not       │
│                  │                  │          │              │                         │               │ correctly...                                                 │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2011-3374                    │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils         │ CVE-2022-0563    │          │              │ 1:2.38.1-5+b1           │               │ partial disclosure of arbitrary files in chfn and chsh when  │
│                  │                  │          │              │                         │               │ compiled with...                                             │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┤          ├──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils        │ CVE-2016-2781    │          │ will_not_fix │ 9.1-1                   │               │ coreutils: Non-privileged session can escape to the parent   │
│                  │                  │          │              │                         │               │ session in chroot                                            │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2016-2781                    │
│                  ├──────────────────┤          ├──────────────┤                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-18018   │          │ affected     │                         │               │ coreutils: race condition vulnerability in chown and chgrp   │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2017-18018                   │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gcc-12-base      │ CVE-2023-4039    │ MEDIUM   │              │ 12.2.0-14               │               │ -fstack-protector fails to guard dynamic stack allocations   │
│                  │                  │          │              │                         │               │ on ARM64                                                     │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-4039                    │
│                  ├──────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2022-27943   │ LOW      │              │                         │               │ libiberty/rust-demangle.c in GNU GCC 11.2 allows stack       │
│                  │                  │          │              │                         │               │ exhaustion in demangle_const                                 │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv             │ CVE-2022-3219    │          │              │ 2.2.40-1.1              │               │ denial of service issue (resource consumption) using         │
│                  │                  │          │              │                         │               │ compressed packets                                           │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libaom3          │ CVE-2023-39616   │ HIGH     │              │ 3.6.0-1                 │               │ AOMedia v3.0.0 to v3.5.0 was discovered to contain an        │
│                  │                  │          │              │                         │               │ invalid read mem...                                          │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-39616                   │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libapt-pkg6.0    │ CVE-2011-3374    │ LOW      │              │ 2.6.1                   │               │ It was found that apt-key in apt, all versions, do not       │
│                  │                  │          │              │                         │               │ correctly...                                                 │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2011-3374                    │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libblkid1        │ CVE-2022-0563    │          │              │ 2.38.1-5+b1             │               │ partial disclosure of arbitrary files in chfn and chsh when  │
│                  │                  │          │              │                         │               │ compiled with...                                             │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin         │ CVE-2010-4756    │          │              │ 2.36-9+deb12u3          │               │ glibc: glob implementation can cause excessive CPU and       │
│                  │                  │          │              │                         │               │ memory consumption due to...                                 │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2018-20796   │          │              │                         │               │ glibc: uncontrolled recursion in function                    │
│                  │                  │          │              │                         │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010022 │          │              │                         │               │ glibc: stack guard protection bypass                         │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010023 │          │              │                         │               │ glibc: running ldd on malicious ELF leads to code execution  │
│                  │                  │          │              │                         │               │ because of...                                                │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010024 │          │              │                         │               │ glibc: ASLR bypass using cache of thread stack and heap      │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010025 │          │              │                         │               │ glibc: information disclosure of heap addresses of           │
│                  │                  │          │              │                         │               │ pthread_created thread                                       │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-9192    │          │              │                         │               │ glibc: uncontrolled recursion in function                    │
│                  │                  │          │              │                         │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-9192                    │
├──────────────────┼──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libc6            │ CVE-2010-4756    │          │              │                         │               │ glibc: glob implementation can cause excessive CPU and       │
│                  │                  │          │              │                         │               │ memory consumption due to...                                 │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2018-20796   │          │              │                         │               │ glibc: uncontrolled recursion in function                    │
│                  │                  │          │              │                         │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010022 │          │              │                         │               │ glibc: stack guard protection bypass                         │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010023 │          │              │                         │               │ glibc: running ldd on malicious ELF leads to code execution  │
│                  │                  │          │              │                         │               │ because of...                                                │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010024 │          │              │                         │               │ glibc: ASLR bypass using cache of thread stack and heap      │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-1010025 │          │              │                         │               │ glibc: information disclosure of heap addresses of           │
│                  │                  │          │              │                         │               │ pthread_created thread                                       │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-9192    │          │              │                         │               │ glibc: uncontrolled recursion in function                    │
│                  │                  │          │              │                         │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-9192                    │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libdav1d6        │ CVE-2023-32570   │ MEDIUM   │              │ 1.0.0-2                 │               │ VideoLAN dav1d before 1.2.0 has a thread_task.c race         │
│                  │                  │          │              │                         │               │ condition that ca ......                                     │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-32570                   │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libde265-0       │ CVE-2023-27103   │ HIGH     │              │ 1.0.11-1                │               │ Libde265 v1.0.11 was discovered to contain a heap buffer     │
│                  │                  │          │              │                         │               │ overflow via ...                                             │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-27103                   │
│                  ├──────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-27102   │ MEDIUM   │              │                         │               │ Libde265 v1.0.11 was discovered to contain a segmentation    │
│                  │                  │          │              │                         │               │ violation vi ...                                             │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-27102                   │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc-s1        │ CVE-2023-4039    │          │              │ 12.2.0-14               │               │ -fstack-protector fails to guard dynamic stack allocations   │
│                  │                  │          │              │                         │               │ on ARM64                                                     │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-4039                    │
│                  ├──────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2022-27943   │ LOW      │              │                         │               │ libiberty/rust-demangle.c in GNU GCC 11.2 allows stack       │
│                  │                  │          │              │                         │               │ exhaustion in demangle_const                                 │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20      │ CVE-2018-6829    │          │              │ 1.10.1-3                │               │ libgcrypt: ElGamal implementation doesn't have semantic      │
│                  │                  │          │              │                         │               │ security due to incorrectly encoded plaintexts...            │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2018-6829                    │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30      │ CVE-2011-3389    │          │              │ 3.7.9-2                 │               │ HTTPS: block-wise chosen-plaintext attack against SSL/TLS    │
│                  │                  │          │              │                         │               │ (BEAST)                                                      │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2011-3389                    │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2018-5709    │          │              │ 1.20.1-2+deb12u1        │               │ krb5: integer overflow in dbentry->n_key_data in             │
│                  │                  │          │              │                         │               │ kadmin/dbutil/dump.c                                         │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2018-5709                    │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libheif1         │ CVE-2023-29659   │ MEDIUM   │              │ 1.15.1-1                │               │ A Segmentation fault caused by a floating point exception    │
│                  │                  │          │              │                         │               │ exists in li...                                              │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-29659                   │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libjbig0         │ CVE-2017-9937    │ LOW      │              │ 2.1-6.1                 │               │ libtiff: memory malloc failure in tif_jbig.c could cause     │
│                  │                  │          │              │                         │               │ DOS.                                                         │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2017-9937                    │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libk5crypto3     │ CVE-2018-5709    │          │              │ 1.20.1-2+deb12u1        │               │ krb5: integer overflow in dbentry->n_key_data in             │
│                  │                  │          │              │                         │               │ kadmin/dbutil/dump.c                                         │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2018-5709                    │
├──────────────────┤                  │          │              │                         ├───────────────┤                                                              │
│ libkrb5-3        │                  │          │              │                         │               │                                                              │
│                  │                  │          │              │                         │               │                                                              │
│                  │                  │          │              │                         │               │                                                              │
├──────────────────┤                  │          │              │                         ├───────────────┤                                                              │
│ libkrb5support0  │                  │          │              │                         │               │                                                              │
│                  │                  │          │              │                         │               │                                                              │
│                  │                  │          │              │                         │               │                                                              │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libldap-2.5-0    │ CVE-2023-2953    │ HIGH     │              │ 2.5.13+dfsg-5           │               │ null pointer dereference in ber_memalloc_x function          │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-2953                    │
│                  ├──────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2015-3276    │ LOW      │              │                         │               │ incorrect multi-keyword mode cipherstring parsing            │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2015-3276                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-14159   │          │              │                         │               │ openldap: Privilege escalation via PID file manipulation     │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2017-14159                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-17740   │          │              │                         │               │ openldap: contrib/slapd-modules/nops/nops.c attempts to free │
│                  │                  │          │              │                         │               │ stack buffer allowing remote attackers to cause...           │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2017-17740                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2020-15719   │          │              │                         │               │ openldap: Certificate validation incorrectly matches name    │
│                  │                  │          │              │                         │               │ against CN-ID                                                │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2020-15719                   │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libmount1        │ CVE-2022-0563    │          │              │ 2.38.1-5+b1             │               │ partial disclosure of arbitrary files in chfn and chsh when  │
│                  │                  │          │              │                         │               │ compiled with...                                             │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libnghttp2-14    │ CVE-2023-44487   │ HIGH     │              │ 1.52.0-1                │               │ Multiple HTTP/2 enabled web servers are vulnerable to a DDoS │
│                  │                  │          │              │                         │               │ attack (Rapid...                                             │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-44487                   │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpng16-16      │ CVE-2021-4214    │ LOW      │              │ 1.6.39-2                │               │ libpng: hardcoded value leads to heap-overflow               │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2021-4214                    │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsmartcols1    │ CVE-2022-0563    │          │              │ 2.38.1-5+b1             │               │ partial disclosure of arbitrary files in chfn and chsh when  │
│                  │                  │          │              │                         │               │ compiled with...                                             │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libssl3          │ CVE-2007-6755    │          │              │ 3.0.11-1~deb12u1        │               │ Dual_EC_DRBG: weak pseudo random number generator            │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2007-6755                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2010-0928    │          │              │                         │               │ openssl: RSA authentication weakness                         │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2010-0928                    │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++6       │ CVE-2023-4039    │ MEDIUM   │              │ 12.2.0-14               │               │ -fstack-protector fails to guard dynamic stack allocations   │
│                  │                  │          │              │                         │               │ on ARM64                                                     │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-4039                    │
│                  ├──────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2022-27943   │ LOW      │              │                         │               │ libiberty/rust-demangle.c in GNU GCC 11.2 allows stack       │
│                  │                  │          │              │                         │               │ exhaustion in demangle_const                                 │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0      │ CVE-2013-4392    │          │              │ 252.17-1~deb12u1        │               │ TOCTOU race condition when updating file permissions and     │
│                  │                  │          │              │                         │               │ SELinux security contexts                                    │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2013-4392                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-31437   │          │              │                         │               │ An issue was discovered in systemd 253. An attacker can      │
│                  │                  │          │              │                         │               │ modify a...                                                  │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31437                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-31438   │          │              │                         │               │ An issue was discovered in systemd 253. An attacker can      │
│                  │                  │          │              │                         │               │ truncate a...                                                │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31438                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-31439   │          │              │                         │               │ An issue was discovered in systemd 253. An attacker can      │
│                  │                  │          │              │                         │               │ modify the...                                                │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31439                   │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libtiff6         │ CVE-2023-25433   │ MEDIUM   │              │ 4.5.0-6                 │               │ Buffer Overflow via /libtiff/tools/tiffcrop.c                │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-25433                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-26965   │          │              │                         │               │ heap-based use after free via a crafted TIFF image in        │
│                  │                  │          │              │                         │               │ loadImage() in...                                            │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-26965                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-26966   │          │              │                         │               │ Buffer Overflow in uv_encode()                               │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-26966                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-2908    │          │              │                         │               │ null pointer dereference in tif_dir.c                        │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-2908                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-3316    │          │              │                         │               │ null pointer dereference in TIFFClose()                      │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-3316                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-3576    │          │              │                         │               │ memory leak in tiffcrop.c                                    │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-3576                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-3618    │          │              │                         │               │ segmentation fault in Fax3Encode in libtiff/tif_fax3.c       │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-3618                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-40745   │          │              │                         │               │ integer overflow in tiffcp.c                                 │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-40745                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-41175   │          │              │                         │               │ potential integer overflow in raw2tiff.c                     │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-41175                   │
│                  ├──────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-16232   │ LOW      │              │                         │               │ libtiff: Memory leaks in tif_open.c, tif_lzw.c, and          │
│                  │                  │          │              │                         │               │ tif_aux.c                                                    │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2017-16232                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-17973   │          │              │                         │               │ libtiff: heap-based use after free in                        │
│                  │                  │          │              │                         │               │ tiff2pdf.c:t2p_writeproc                                     │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2017-17973                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-5563    │          │              │                         │               │ libtiff: Heap-buffer overflow in LZWEncode tif_lzw.c         │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2017-5563                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2017-9117    │          │              │                         │               │ libtiff: Heap-based buffer over-read in bmp2tiff             │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2017-9117                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2018-10126   │          │              │                         │               │ libtiff: NULL pointer dereference in the jpeg_fdct_16x16     │
│                  │                  │          │              │                         │               │ function in jfdctint.c                                       │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2018-10126                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2022-1210    │          │              │                         │               │ tiff: Malicious file leads to a denial of service in TIFF    │
│                  │                  │          │              │                         │               │ File...                                                      │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-1210                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-1916    │          │              │                         │               │ out-of-bounds read in extractImageSection() in               │
│                  │                  │          │              │                         │               │ tools/tiffcrop.c                                             │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-1916                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-3164    │          │              │                         │               │ heap-buffer-overflow in extractImageSection()                │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-3164                    │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1         │ CVE-2013-4392    │          │              │ 252.17-1~deb12u1        │               │ TOCTOU race condition when updating file permissions and     │
│                  │                  │          │              │                         │               │ SELinux security contexts                                    │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2013-4392                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-31437   │          │              │                         │               │ An issue was discovered in systemd 253. An attacker can      │
│                  │                  │          │              │                         │               │ modify a...                                                  │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31437                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-31438   │          │              │                         │               │ An issue was discovered in systemd 253. An attacker can      │
│                  │                  │          │              │                         │               │ truncate a...                                                │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31438                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-31439   │          │              │                         │               │ An issue was discovered in systemd 253. An attacker can      │
│                  │                  │          │              │                         │               │ modify the...                                                │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31439                   │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libuuid1         │ CVE-2022-0563    │          │              │ 2.38.1-5+b1             │               │ partial disclosure of arbitrary files in chfn and chsh when  │
│                  │                  │          │              │                         │               │ compiled with...                                             │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libxml2          │ CVE-2023-45322   │ HIGH     │              │ 2.9.14+dfsg-1.3~deb12u1 │               │ use-after-free in xmlUnlinkNode() in tree.c                  │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-45322                   │
│                  ├──────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-39615   │ MEDIUM   │              │                         │               │ crafted xml can cause global buffer overflow                 │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-39615                   │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libxslt1.1       │ CVE-2015-9019    │ LOW      │              │ 1.1.35-1                │               │ libxslt: math.random() in xslt uses unseeded randomness      │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2015-9019                    │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ login            │ CVE-2023-4641    │ MEDIUM   │              │ 1:4.13+dfsg1-1+b1       │               │ possible password leak during passwd(1) change               │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-4641                    │
│                  ├──────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2007-5686    │ LOW      │              │                         │               │ initscripts in rPath Linux 1 sets insecure permissions for   │
│                  │                  │          │              │                         │               │ the /var/lo ......                                           │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2007-5686                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-19882   │          │              │                         │               │ shadow-utils: local users can obtain root access because     │
│                  │                  │          │              │                         │               │ setuid programs are misconfigured...                         │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-19882                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-29383   │          │              │                         │               │ Improper input validation in shadow-utils package utility    │
│                  │                  │          │              │                         │               │ chfn                                                         │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ mount            │ CVE-2022-0563    │          │              │ 2.38.1-5+b1             │               │ partial disclosure of arbitrary files in chfn and chsh when  │
│                  │                  │          │              │                         │               │ compiled with...                                             │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ nginx            │ CVE-2009-4487    │          │              │ 1.25.2-1~bookworm       │               │ nginx: Absent sanitation of escape sequences in web server   │
│                  │                  │          │              │                         │               │ log                                                          │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2009-4487                    │
│                  ├──────────────────┤          ├──────────────┤                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2013-0337    │          │ will_not_fix │                         │               │ The default configuration of nginx, possibly 1.3.13 and      │
│                  │                  │          │              │                         │               │ earlier, uses ......                                         │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2013-0337                    │
│                  ├──────────────────┤          ├──────────────┤                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-44487   │          │ affected     │                         │               │ Multiple HTTP/2 enabled web servers are vulnerable to a DDoS │
│                  │                  │          │              │                         │               │ attack (Rapid...                                             │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-44487                   │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ openssl          │ CVE-2007-6755    │          │              │ 3.0.11-1~deb12u1        │               │ Dual_EC_DRBG: weak pseudo random number generator            │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2007-6755                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2010-0928    │          │              │                         │               │ openssl: RSA authentication weakness                         │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2010-0928                    │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ passwd           │ CVE-2023-4641    │ MEDIUM   │              │ 1:4.13+dfsg1-1+b1       │               │ possible password leak during passwd(1) change               │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-4641                    │
│                  ├──────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2007-5686    │ LOW      │              │                         │               │ initscripts in rPath Linux 1 sets insecure permissions for   │
│                  │                  │          │              │                         │               │ the /var/lo ......                                           │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2007-5686                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2019-19882   │          │              │                         │               │ shadow-utils: local users can obtain root access because     │
│                  │                  │          │              │                         │               │ setuid programs are misconfigured...                         │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-19882                   │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-29383   │          │              │                         │               │ Improper input validation in shadow-utils package utility    │
│                  │                  │          │              │                         │               │ chfn                                                         │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
├──────────────────┼──────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ perl-base        │ CVE-2023-31484   │ HIGH     │              │ 5.36.0-7                │               │ CPAN.pm before 2.35 does not verify TLS certificates when    │
│                  │                  │          │              │                         │               │ downloading distributions over...                            │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31484                   │
│                  ├──────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2011-4116    │ LOW      │              │                         │               │ perl: File::Temp insecure temporary file handling            │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2011-4116                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2023-31486   │          │              │                         │               │ insecure TLS cert default                                    │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31486                   │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ tar              │ CVE-2005-2541    │          │              │ 1.34+dfsg-1.2           │               │ tar: does not properly warn the user when extracting setuid  │
│                  │                  │          │              │                         │               │ or setgid...                                                 │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2005-2541                    │
│                  ├──────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                  │ CVE-2022-48303   │          │              │                         │               │ heap buffer overflow at from_header() in list.c via          │
│                  │                  │          │              │                         │               │ specially crafted checksum                                   │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-48303                   │
├──────────────────┼──────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ util-linux       │ CVE-2022-0563    │          │              │ 2.38.1-5+b1             │               │ partial disclosure of arbitrary files in chfn and chsh when  │
│                  │                  │          │              │                         │               │ compiled with...                                             │
│                  │                  │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├──────────────────┤                  │          │              │                         ├───────────────┤                                                              │
│ util-linux-extra │                  │          │              │                         │               │                                                              │
│                  │                  │          │              │                         │               │                                                              │
│                  │                  │          │              │                         │               │                                                              │
└──────────────────┴──────────────────┴──────────┴──────────────┴─────────────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘



### Operating System

macOS

### Version

```bash
% trivy --version
Version: 0.45.1
Vulnerability DB:
  Version: 2
  UpdatedAt: 2023-10-12 12:16:39.10633075 +0000 UTC
  NextUpdate: 2023-10-12 18:16:39.10633025 +0000 UTC
  DownloadedAt: 2023-10-12 15:05:57.525563 +0000 UTC
Java DB:
  Version: 1
  UpdatedAt: 2023-10-12 01:06:25.955251423 +0000 UTC
  NextUpdate: 2023-10-15 01:06:25.955251023 +0000 UTC
  DownloadedAt: 2023-10-12 15:04:09.275939 +0000 UTC

Checklist

Run trivy image --reset
Read the troubleshooting

DmitriyLewen · 2023-10-13T09:08:56Z

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Inconsistent output across "table", "json", and "cyclonedx" output with respect to scoring #5372

{{title}}

{{editor}}'s edit

{{editor}}'s edit

Replies: 1 comment

{{title}}

Select a reply

Inconsistent output across "table", "json", and "cyclonedx" output with respect to scoring #5372

skandragon Oct 12, 2023

Description

Desired Behavior

Actual Behavior

Reproduction Steps

Target

Scanner

Output Format

Mode

Debug Output

Checklist

Replies: 1 comment

DmitriyLewen Oct 13, 2023 Maintainer

skandragon
Oct 12, 2023

DmitriyLewen
Oct 13, 2023
Maintainer