Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Vulnerabilities found for frontend:2.3.0 #161

Open
ckfbot opened this issue Dec 2, 2024 · 1 comment
Open

Vulnerabilities found for frontend:2.3.0 #161

ckfbot opened this issue Dec 2, 2024 · 1 comment
Labels
bug Something isn't working

Comments

@ckfbot
Copy link
Collaborator

ckfbot commented Dec 2, 2024
edited
Loading

Vulnerabilities found for frontend:2.3.0


For OSS Maintainers: VEX Notice
--------------------------------
If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://aquasecurity.github.io/trivy/v0.56/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.


charmedkubeflow/frontend:2.3.0-111c139 (ubuntu 22.04)
=====================================================
Total: 0 (HIGH: 0, CRITICAL: 0)


Node.js (node-pkg)
==================
Total: 37 (HIGH: 33, CRITICAL: 4)

┌──────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│               Library                │ Vulnerability  │ Severity │ Status │ Installed Version │           Fixed Version            │                            Title                             │
├──────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ansi-regex (package.json)            │ CVE-2021-3807  │ HIGH     │ fixed  │ 4.1.0             │ 6.0.1, 5.0.1, 4.1.1, 3.0.1         │ nodejs-ansi-regex: Regular expression denial of service      │
│                                      │                │          │        │                   │                                    │ (ReDoS) matching ANSI escape codes                           │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2021-3807                    │
│                                      │                │          │        ├───────────────────┤                                    │                                                              │
│                                      │                │          │        │ 5.0.0             │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
├──────────────────────────────────────┼────────────────┤          │        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ async (package.json)                 │ CVE-2021-43138 │          │        │ 2.6.3             │ 3.2.2, 2.6.4                       │ async: Prototype Pollution in async                          │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2021-43138                   │
│                                      │                │          │        ├───────────────────┤                                    │                                                              │
│                                      │                │          │        │ 3.2.0             │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
├──────────────────────────────────────┼────────────────┤          │        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ axios (package.json)                 │ CVE-2024-39338 │          │        │ 1.6.0             │ 1.7.4                              │ axios: axios: Server-Side Request Forgery                    │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2024-39338                   │
├──────────────────────────────────────┼────────────────┤          │        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ body-parser (package.json)           │ CVE-2024-45590 │          │        │ 1.19.2            │ 1.20.3                             │ body-parser: Denial of Service Vulnerability in body-parser  │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2024-45590                   │
├──────────────────────────────────────┼────────────────┤          │        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ braces (package.json)                │ CVE-2024-4068  │          │        │ 2.3.2             │ 3.0.3                              │ braces: fails to limit the number of characters it can       │
│                                      │                │          │        │                   │                                    │ handle                                                       │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2024-4068                    │
│                                      │                │          │        ├───────────────────┤                                    │                                                              │
│                                      │                │          │        │ 3.0.2             │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
├──────────────────────────────────────┼────────────────┤          │        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ cross-spawn (package.json)           │ CVE-2024-21538 │          │        │ 6.0.5             │ 7.0.5, 6.0.6                       │ cross-spawn: regular expression denial of service            │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2024-21538                   │
│                                      │                │          │        ├───────────────────┤                                    │                                                              │
│                                      │                │          │        │ 7.0.2             │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        ├───────────────────┤                                    │                                                              │
│                                      │                │          │        │ 7.0.3             │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
├──────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ crypto-js (package.json)             │ CVE-2023-46233 │ CRITICAL │        │ 3.3.0             │ 4.2.0                              │ crypto-js: PBKDF2 1,000 times weaker than specified in 1993  │
│                                      │                │          │        │                   │                                    │ and 1.3M times...                                            │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2023-46233                   │
├──────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ date-and-time (package.json)         │ CVE-2020-26289 │ HIGH     │        │ 0.6.3             │ 0.14.2                             │ nodejs-date-and-time: ReDoS in parsing via date.compile      │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2020-26289                   │
├──────────────────────────────────────┼────────────────┤          │        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ http-proxy-middleware (package.json) │ CVE-2024-21536 │          │        │ 0.18.0            │ 2.0.7, 3.0.3                       │ http-proxy-middleware: Denial of Service                     │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2024-21536                   │
├──────────────────────────────────────┼────────────────┤          │        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ json-bigint (package.json)           │ CVE-2020-8237  │          │        │ 0.3.0             │ 1.0.0                              │ nodejs-json-bigint: Prototype pollution via `__proto__`      │
│                                      │                │          │        │                   │                                    │ assignment could result in DoS                               │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2020-8237                    │
├──────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ json-schema (package.json)           │ CVE-2021-3918  │ CRITICAL │        │ 0.2.3             │ 0.4.0                              │ nodejs-json-schema: Prototype pollution vulnerability        │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2021-3918                    │
├──────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ node-fetch (package.json)            │ CVE-2022-0235  │ HIGH     │        │ 1.7.3             │ 3.1.1, 2.6.7                       │ node-fetch: exposure of sensitive information to an          │
│                                      │                │          │        │                   │                                    │ unauthorized actor                                           │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2022-0235                    │
├──────────────────────────────────────┼────────────────┤          │        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ node-forge (package.json)            │ CVE-2020-7720  │          │        │ 0.8.5             │ 0.10.0                             │ nodejs-node-forge: prototype pollution via the util.setPath  │
│                                      │                │          │        │                   │                                    │ function                                                     │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2020-7720                    │
│                                      ├────────────────┤          │        │                   ├────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                      │ CVE-2022-24771 │          │        │                   │ 1.3.0                              │ node-forge: Signature verification leniency in checking      │
│                                      │                │          │        │                   │                                    │ `digestAlgorithm` structure can lead to signature...         │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2022-24771                   │
│                                      ├────────────────┤          │        │                   │                                    ├──────────────────────────────────────────────────────────────┤
│                                      │ CVE-2022-24772 │          │        │                   │                                    │ node-forge: Signature verification failing to check tailing  │
│                                      │                │          │        │                   │                                    │ garbage bytes can lead to...                                 │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2022-24772                   │
├──────────────────────────────────────┼────────────────┤          │        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ path-to-regexp (package.json)        │ CVE-2024-45296 │          │        │ 0.1.7             │ 1.9.0, 0.1.10, 8.0.0, 3.3.0, 6.3.0 │ path-to-regexp: Backtracking regular expressions cause ReDoS │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2024-45296                   │
├──────────────────────────────────────┼────────────────┤          │        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ shelljs (package.json)               │ CVE-2022-0144  │          │        │ 0.8.3             │ 0.8.5                              │ nodejs-shelljs: improper privilege management                │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2022-0144                    │
├──────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ underscore (package.json)            │ CVE-2021-23358 │ CRITICAL │        │ 1.7.0             │ 1.12.1                             │ nodejs-underscore: Arbitrary code execution via the template │
│                                      │                │          │        │                   │                                    │ function                                                     │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2021-23358                   │
│                                      │                │          │        ├───────────────────┤                                    │                                                              │
│                                      │                │          │        │ 1.9.2             │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
├──────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ws (package.json)                    │ CVE-2024-37890 │ HIGH     │        │ 6.2.2             │ 5.2.4, 6.2.3, 7.5.10, 8.17.1       │ nodejs-ws: denial of service when handling a request with    │
│                                      │                │          │        │                   │                                    │ many HTTP headers...                                         │
│                                      │                │          │        │                   │                                    │ https://avd.aquasec.com/nvd/cve-2024-37890                   │
│                                      │                │          │        ├───────────────────┤                                    │                                                              │
│                                      │                │          │        │ 7.4.6             │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
│                                      │                │          │        │                   │                                    │                                                              │
└──────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────────────────────────┴──────────────────────────────────────────────────────────────┘

Details: https://github.com/canonical/pipelines-rocks/actions/runs/12539407384
@ckfbot ckfbot added the bug Something isn't working label Dec 2, 2024
@syncronize-issues-to-jira Syncronize issues to Jira
Copy link

Thank you for reporting us your feedback!

The internal ticket has been created: https://warthogs.atlassian.net/browse/KF-6631.

This message was autogenerated

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
bug Something isn't working
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@ckfbot