We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Describe the bug Trivy scan shows vulnerable libraries level critical and high. Package stdlib shpuld be updated
To Reproduce
prometheus-nginxlog-exporter (gobinary) Total: 35 (UNKNOWN: 0, LOW: 0, MEDIUM: 17, HIGH: 15, CRITICAL: 3) ┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ MEDIUM │ fixed │ v1.30.0 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ ├────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ stdlib │ CVE-2023-24538 │ CRITICAL │ │ 1.18.10 │ 1.19.8, 1.20.3 │ golang: html/template: backticks not treated as string │ │ │ │ │ │ │ │ delimiters │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24538 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24540 │ │ │ │ 1.19.9, 1.20.4 │ golang: html/template: improper handling of JavaScript │ │ │ │ │ │ │ │ whitespace │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24540 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-24790 │ │ │ │ 1.21.11, 1.22.4 │ golang: net/netip: Unexpected behavior from Is methods for │ │ │ │ │ │ │ │ IPv4-mapped IPv6 addresses │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24790 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41722 │ HIGH │ │ │ 1.19.6, 1.20.1 │ golang: path/filepath: path-filepath filepath.Clean path │ │ │ │ │ │ │ │ traversal │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41722 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41723 │ │ │ │ │ golang.org/x/net/http2: avoid quadratic complexity in HPACK │ │ │ │ │ │ │ │ decoding │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41724 │ │ │ │ │ golang: crypto/tls: large handshake records may cause panics │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41724 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41725 │ │ │ │ │ golang: net/http, mime/multipart: denial of service from │ │ │ │ │ │ │ │ excessive resource consumption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41725 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24534 │ │ │ │ 1.19.8, 1.20.3 │ golang: net/http, net/textproto: denial of service from │ │ │ │ │ │ │ │ excessive memory allocation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24534 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24536 │ │ │ │ │ golang: net/http, net/textproto, mime/multipart: denial of │ │ │ │ │ │ │ │ service from excessive resource consumption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24536 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24537 │ │ │ │ │ golang: go/parser: Infinite loop in parsing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24537 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24539 │ │ │ │ 1.19.9, 1.20.4 │ golang: html/template: improper sanitization of CSS values │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24539 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-29400 │ │ │ │ │ golang: html/template: improper handling of empty HTML │ │ │ │ │ │ │ │ attributes │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29400 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-29403 │ │ │ │ 1.19.10, 1.20.5 │ golang: runtime: unexpected behavior of setuid/setgid │ │ │ │ │ │ │ │ binaries │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29403 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-39325 │ │ │ │ 1.20.10, 1.21.3 │ golang: net/http, x/net/http2: rapid stream resets can cause │ │ │ │ │ │ │ │ excessive work (CVE-2023-44487) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-45283 │ │ │ │ 1.20.11, 1.21.4, 1.20.12, 1.21.5 │ The filepath package does not recognize paths with a \??\ │ │ │ │ │ │ │ │ prefix as... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45283 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-45287 │ │ │ │ 1.20.0 │ golang: crypto/tls: Timing Side Channel attack in RSA based │ │ │ │ │ │ │ │ TLS key exchanges.... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45287 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-45288 │ │ │ │ 1.21.9, 1.22.2 │ golang: net/http, x/net/http2: unlimited number of │ │ │ │ │ │ │ │ CONTINUATION frames causes DoS │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45288 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-34156 │ │ │ │ 1.22.7, 1.23.1 │ encoding/gob: golang: Calling Decoder.Decode on a message │ │ │ │ │ │ │ │ which contains deeply nested structures... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34156 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-24532 │ MEDIUM │ │ │ 1.19.7, 1.20.2 │ golang: crypto/internal/nistec: specific unreduced P-256 │ │ │ │ │ │ │ │ scalars produce incorrect results │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-24532 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-29406 │ │ │ │ 1.19.11, 1.20.6 │ golang: net/http: insufficient sanitization of Host header │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29406 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-29409 │ │ │ │ 1.19.12, 1.20.7, 1.21.0-rc.4 │ golang: crypto/tls: slow verification of certificate chains │ │ │ │ │ │ │ │ containing large RSA keys │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-29409 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-39318 │ │ │ │ 1.20.8, 1.21.1 │ golang: html/template: improper handling of HTML-like │ │ │ │ │ │ │ │ comments within script contexts │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39318 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-39319 │ │ │ │ │ golang: html/template: improper handling of special tags │ │ │ │ │ │ │ │ within script contexts │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39319 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-39326 │ │ │ │ 1.20.12, 1.21.5 │ golang: net/http/internal: Denial of Service (DoS) via │ │ │ │ │ │ │ │ Resource Consumption via HTTP requests... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39326 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-45284 │ │ │ │ 1.20.11, 1.21.4 │ On Windows, The IsLocal function does not correctly detect │ │ │ │ │ │ │ │ reserved de ...... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45284 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-45289 │ │ │ │ 1.21.8, 1.22.1 │ golang: net/http/cookiejar: incorrect forwarding of │ │ │ │ │ │ │ │ sensitive headers and cookies on HTTP redirect... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45289 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-45290 │ │ │ │ │ golang: net/http: golang: mime/multipart: golang: │ │ │ │ │ │ │ │ net/textproto: memory exhaustion in │ │ │ │ │ │ │ │ Request.ParseMultipartForm │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45290 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-24783 │ │ │ │ │ golang: crypto/x509: Verify panics on certificates with an │ │ │ │ │ │ │ │ unknown public key algorithm... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24783 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-24784 │ │ │ │ │ golang: net/mail: comments in display names are incorrectly │ │ │ │ │ │ │ │ handled │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24784 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-24785 │ │ │ │ │ golang: html/template: errors returned from MarshalJSON │ │ │ │ │ │ │ │ methods may break template escaping │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24785 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-24789 │ │ │ │ 1.21.11, 1.22.4 │ golang: archive/zip: Incorrect handling of certain ZIP files │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24789 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-24791 │ │ │ │ 1.21.12, 1.22.5 │ net/http: Denial of service due to improper 100-continue │ │ │ │ │ │ │ │ handling in net/http │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24791 │ │ ├────────────────┤ │ │ ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-34155 │ │ │ │ 1.22.7, 1.23.1 │ go/parser: golang: Calling any of the Parse functions │ │ │ │ │ │ │ │ containing deeply nested literals... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34155 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-34158 │ │ │ │ │ go/build/constraint: golang: Calling Parse on a "// +build" │ │ │ │ │ │ │ │ build tag line with... │
Environment:
The text was updated successfully, but these errors were encountered:
No branches or pull requests
Describe the bug
Trivy scan shows vulnerable libraries level critical and high.
Package stdlib shpuld be updated
To Reproduce
Environment:
The text was updated successfully, but these errors were encountered: