Vulnerable components in Docker image
huornlmj opened this issue · comments
Describe the bug
Known vulnerabilities within the Dockerhub Wetty latest image when tested with the Trivy tool. The results are:
wettyoss/wetty:latest (alpine 3.16.2)
Total: 0 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0)
2022-11-01T15:13:17.532Z INFO Table result includes only package filenames. Use '--format json' option to get the full path to the package file.
Node.js (node-pkg)
Total: 12 (UNKNOWN: 0, LOW: 0, MEDIUM: 3, HIGH: 7, CRITICAL: 2)
┌──────────────────────────┬────────────────┬──────────┬───────────────────┬─────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ got (package.json) │ CVE-2022-33987 │ MEDIUM │ 9.6.0 │ 11.8.5, 12.1.0 │ nodejs-got: missing verification of requested URLs allows │
│ │ │ │ │ │ redirects to UNIX sockets │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-33987 │
├──────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ini (package.json) │ CVE-2020-7788 │ HIGH │ 1.3.5 │ 1.3.6 │ nodejs-ini: Prototype pollution via malicious INI file │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-7788 │
├──────────────────────────┼────────────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ minimatch (package.json) │ CVE-2022-3517 │ │ 3.0.4 │ 3.0.5 │ nodejs-minimatch: ReDoS via the braceExpand function │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3517 │
├──────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ minimist (package.json) │ CVE-2021-44906 │ CRITICAL │ 0.0.8 │ 1.2.6 │ minimist: prototype pollution │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44906 │
│ ├────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-7598 │ MEDIUM │ │ 1.2.3, 0.2.1 │ nodejs-minimist: prototype pollution allows adding or │
│ │ │ │ │ │ modifying properties of Object.prototype using a... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-7598 │
│ ├────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-44906 │ CRITICAL │ 1.2.0 │ 1.2.6 │ minimist: prototype pollution │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44906 │
│ ├────────────────┼──────────┤ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-7598 │ MEDIUM │ │ 1.2.3, 0.2.1 │ nodejs-minimist: prototype pollution allows adding or │
│ │ │ │ │ │ modifying properties of Object.prototype using a... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-7598 │
├──────────────────────────┼────────────────┼──────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ tar (package.json) │ CVE-2021-32803 │ HIGH │ 4.4.8 │ 6.1.2, 5.0.7, 4.4.15, 3.2.3 │ nodejs-tar: Insufficient symlink protection allowing │
│ │ │ │ │ │ arbitrary file creation and overwrite │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-32803 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-32804 │ │ │ 6.1.1, 5.0.6, 4.4.14, 3.2.2 │ nodejs-tar: Insufficient absolute path sanitization allowing │
│ │ │ │ │ │ arbitrary file creation and overwrite │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-32804 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-37701 │ │ │ 6.1.7, 5.0.8, 4.4.16 │ nodejs-tar: Insufficient symlink protection due to directory │
│ │ │ │ │ │ cache poisoning using symbolic links... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37701 │
│ ├────────────────┤ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-37712 │ │ │ 6.1.9, 5.0.10, 4.4.18 │ nodejs-tar: Insufficient symlink protection due to directory │
│ │ │ │ │ │ cache poisoning using symbolic links... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37712 │
│ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2021-37713 │ │ │ │ nodejs-tar: Arbitrary File Creation/Overwrite on Windows via │
│ │ │ │ │ │ insufficient relative path sanitization │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37713 │
└──────────────────────────┴────────────────┴──────────┴───────────────────┴─────────────────────────────┴──────────────────────────────────────────────────────────────┘
usr/src/app/node_modules/esbuild/bin/esbuild (gobinary)
Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 0)
┌──────────────────┬────────────────┬──────────┬────────────────────────────────────┬───────────────────────────────────┬───────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├──────────────────┼────────────────┼──────────┼────────────────────────────────────┼───────────────────────────────────┼───────────────────────────────────────────────┤
│ golang.org/x/sys │ CVE-2022-29526 │ MEDIUM │ v0.0.0-20200501145240-bc7a7d42d5c3 │ 0.0.0-20220412211240-33da011f77ad │ golang: syscall: faccessat checks wrong group │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29526 │
└──────────────────┴────────────────┴──────────┴────────────────────────────────────┴───────────────────────────────────┴───────────────────────────────────────────────┘
Stale issue message
Ping