search

brafdlog / caspion

Automated budget tracking from Israeli financial institutions
https://www.caspion.org
MIT License
190 stars 42 forks source link

Vulnerability detected by using 'Trivy' | Total: 24 (HIGH: 21, CRITICAL: 3) #573

Open sk3pp3r opened 1 month ago

sk3pp3r commented 1 month ago

I found 24 vulnerabily in the current repo shell> trivy repo https://github.com/brafdlog/caspion -s HIGH,CRITICAL FYI 


nuxt/yarn.lock (yarn)
=====================
Total: 24 (HIGH: 21, CRITICAL: 3)

┌────────────────────────┬────────────────┬──────────┬──────────┬───────────────────┬──────────────────────────────────────────────────────────┬─────────────────────────────────────────────────────────────┐
│        Library         │ Vulnerability  │ Severity │  Status  │ Installed Version │                      Fixed Version                       │                            Title                            │
├────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ ansi-html              │ CVE-2021-23424 │ HIGH     │ fixed    │ 0.0.7             │ 0.0.8                                                    │ nodejs-ansi-html: ReDoS via crafted string                  │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2021-23424                  │
├────────────────────────┼────────────────┤          │          ├───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ ansi-regex             │ CVE-2021-3807  │          │          │ 3.0.0             │ 6.0.1, 5.0.1, 4.1.1, 3.0.1                               │ nodejs-ansi-regex: Regular expression denial of service     │
│                        │                │          │          │                   │                                                          │ (ReDoS) matching ANSI escape codes                          │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2021-3807                   │
│                        │                │          │          ├───────────────────┤                                                          │                                                             │
│                        │                │          │          │ 4.1.0             │                                                          │                                                             │
│                        │                │          │          │                   │                                                          │                                                             │
│                        │                │          │          │                   │                                                          │                                                             │
│                        │                │          │          ├───────────────────┤                                                          │                                                             │
│                        │                │          │          │ 5.0.0             │                                                          │                                                             │
│                        │                │          │          │                   │                                                          │                                                             │
│                        │                │          │          │                   │                                                          │                                                             │
├────────────────────────┼────────────────┤          │          ├───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ braces                 │ CVE-2024-4068  │          │          │ 2.3.2             │ 3.0.3                                                    │ braces: fails to limit the number of characters it can      │
│                        │                │          │          │                   │                                                          │ handle                                                      │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2024-4068                   │
│                        │                │          │          ├───────────────────┤                                                          │                                                             │
│                        │                │          │          │ 3.0.2             │                                                          │                                                             │
│                        │                │          │          │                   │                                                          │                                                             │
│                        │                │          │          │                   │                                                          │                                                             │
├────────────────────────┼────────────────┤          │          ├───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ css-what               │ CVE-2021-33587 │          │          │ 4.0.0             │ 5.0.1                                                    │ nodejs-css-what: does not ensure that attribute parsing has │
│                        │                │          │          │                   │                                                          │ linear time complexity relative...                          │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2021-33587                  │
├────────────────────────┼────────────────┤          ├──────────┤                   ├──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ html-minifier          │ CVE-2022-37620 │          │ affected │                   │                                                          │ kangax html-minifier REDoS vulnerability                    │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2022-37620                  │
├────────────────────────┼────────────────┤          │          ├───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ ip                     │ CVE-2024-29415 │          │          │ 1.1.9             │                                                          │ node-ip: Incomplete fix for CVE-2023-42282                  │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2024-29415                  │
├────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ loader-utils           │ CVE-2022-37601 │ CRITICAL │ fixed    │ 2.0.0             │ 2.0.3, 1.4.1                                             │ loader-utils: prototype pollution in function parseQuery in │
│                        │                │          │          │                   │                                                          │ parseQuery.js                                               │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2022-37601                  │
│                        ├────────────────┼──────────┤          │                   ├──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-37599 │ HIGH     │          │                   │ 1.4.2, 2.0.4, 3.2.1                                      │ loader-utils: regular expression denial of service in       │
│                        │                │          │          │                   │                                                          │ interpolateName.js                                          │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2022-37599                  │
│                        ├────────────────┤          │          │                   │                                                          ├─────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-37603 │          │          │                   │                                                          │ loader-utils:Regular expression denial of service           │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2022-37603                  │
├────────────────────────┼────────────────┤          ├──────────┼───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ lodash.template        │ CVE-2021-23337 │          │ affected │ 4.5.0             │                                                          │ nodejs-lodash: command injection via template               │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2021-23337                  │
├────────────────────────┼────────────────┤          ├──────────┼───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ minimatch              │ CVE-2022-3517  │          │ fixed    │ 3.0.4             │ 3.0.5                                                    │ nodejs-minimatch: ReDoS via the braceExpand function        │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2022-3517                   │
├────────────────────────┼────────────────┤          │          ├───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ nth-check              │ CVE-2021-3803  │          │          │ 1.0.2             │ 2.0.1                                                    │ nodejs-nth-check: inefficient regular expression complexity │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2021-3803                   │
│                        │                │          │          ├───────────────────┤                                                          │                                                             │
│                        │                │          │          │ 2.0.0             │                                                          │                                                             │
│                        │                │          │          │                   │                                                          │                                                             │
├────────────────────────┼────────────────┤          │          ├───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ parse-path             │ CVE-2022-0624  │          │          │ 4.0.3             │ 5.0.0                                                    │ Authorization Bypass in parse-path                          │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2022-0624                   │
├────────────────────────┼────────────────┼──────────┤          ├───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ parse-url              │ CVE-2022-2216  │ CRITICAL │          │ 5.0.2             │ 6.0.1                                                    │ Server-Side Request Forgery in parse-url                    │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2022-2216                   │
│                        ├────────────────┤          │          │                   ├──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-2900  │          │          │                   │ 8.1.0                                                    │ Server-Side Request Forgery (SSRF) in GitHub repository     │
│                        │                │          │          │                   │                                                          │ ionicabizau/parse-url                                       │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2022-2900                   │
│                        ├────────────────┼──────────┤          │                   ├──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-0722  │ HIGH     │          │                   │ 6.0.1                                                    │ parse-url: Exposure of Sensitive Information to an          │
│                        │                │          │          │                   │                                                          │ Unauthorized Actor in GitHub repository...                  │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2022-0722                   │
├────────────────────────┼────────────────┤          │          ├───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ qs                     │ CVE-2022-24999 │          │          │ 6.10.1            │ 6.10.3, 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3, │ express: "qs" prototype poisoning causes the hang of the    │
│                        │                │          │          │                   │ 6.2.4                                                    │ node process                                                │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2022-24999                  │
├────────────────────────┼────────────────┤          │          ├───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ terser                 │ CVE-2022-25858 │          │          │ 5.7.0             │ 4.8.1, 5.14.2                                            │ terser: insecure use of regular expressions leads to ReDoS  │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2022-25858                  │
├────────────────────────┼────────────────┤          │          ├───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ webpack-dev-middleware │ CVE-2024-29180 │          │          │ 4.3.0             │ 7.1.0, 6.1.2, 5.3.4                                      │ webpack-dev-middleware: lack of URL validation may lead to  │
│                        │                │          │          │                   │                                                          │ file leak                                                   │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2024-29180                  │
├────────────────────────┼────────────────┤          │          ├───────────────────┼──────────────────────────────────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ ws                     │ CVE-2024-37890 │          │          │ 7.4.6             │ 5.2.4, 6.2.3, 7.5.10, 8.17.1                             │ nodejs-ws: denial of service when handling a request with   │
│                        │                │          │          │                   │                                                          │ many HTTP headers...                                        │
│                        │                │          │          │                   │                                                          │ https://avd.aquasec.com/nvd/cve-2024-37890                  │
└────────────────────────┴────────────────┴──────────┴──────────┴───────────────────┴──────────────────────────────────────────────────────────┴─────────────────────────────────────────────────────────────┘

ui-react/yarn.lock (yarn)
=========================
Total: 19 (HIGH: 14, CRITICAL: 5)

┌────────────────────────┬────────────────┬──────────┬──────────┬───────────────────┬────────────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│        Library         │ Vulnerability  │ Severity │  Status  │ Installed Version │                 Fixed Version                  │                            Title                             │
├────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ansi-html              │ CVE-2021-23424 │ HIGH     │ fixed    │ 0.0.7             │ 0.0.8                                          │ nodejs-ansi-html: ReDoS via crafted string                   │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2021-23424                   │
├────────────────────────┼────────────────┤          │          ├───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ braces                 │ CVE-2024-4068  │          │          │ 2.3.2             │ 3.0.3                                          │ braces: fails to limit the number of characters it can       │
│                        │                │          │          │                   │                                                │ handle                                                       │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2024-4068                    │
│                        │                │          │          ├───────────────────┤                                                │                                                              │
│                        │                │          │          │ 3.0.2             │                                                │                                                              │
│                        │                │          │          │                   │                                                │                                                              │
│                        │                │          │          │                   │                                                │                                                              │
├────────────────────────┼────────────────┼──────────┤          ├───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ejs                    │ CVE-2022-29078 │ CRITICAL │          │ 2.7.4             │ 3.1.7                                          │ ejs: server-side template injection in outputFunctionName    │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2022-29078                   │
├────────────────────────┼────────────────┼──────────┤          ├───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ electron               │ CVE-2023-5217  │ HIGH     │          │ 15.5.7            │ 22.3.25, 24.8.5, 25.8.4, 26.2.4, 27.0.0-beta.8 │ libvpx: Heap buffer overflow in vp8 encoding in libvpx       │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2023-5217                    │
├────────────────────────┼────────────────┼──────────┤          ├───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ immer                  │ CVE-2021-23436 │ CRITICAL │          │ 8.0.1             │ 9.0.6                                          │ immer: type confusion vulnerability can lead to a bypass of  │
│                        │                │          │          │                   │                                                │ CVE-2020-28477                                               │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2021-23436                   │
│                        ├────────────────┼──────────┤          │                   │                                                ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2021-3757  │ HIGH     │          │                   │                                                │ nodejs-immer: prototype pollution may lead to DoS or remote  │
│                        │                │          │          │                   │                                                │ code execution                                               │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2021-3757                    │
├────────────────────────┼────────────────┤          ├──────────┼───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ip                     │ CVE-2024-29415 │          │ affected │ 1.1.9             │                                                │ node-ip: Incomplete fix for CVE-2023-42282                   │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2024-29415                   │
├────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ loader-utils           │ CVE-2022-37601 │ CRITICAL │ fixed    │ 2.0.0             │ 2.0.3, 1.4.1                                   │ loader-utils: prototype pollution in function parseQuery in  │
│                        │                │          │          │                   │                                                │ parseQuery.js                                                │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2022-37601                   │
│                        ├────────────────┼──────────┤          │                   ├────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-37599 │ HIGH     │          │                   │ 1.4.2, 2.0.4, 3.2.1                            │ loader-utils: regular expression denial of service in        │
│                        │                │          │          │                   │                                                │ interpolateName.js                                           │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2022-37599                   │
│                        ├────────────────┤          │          │                   │                                                ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-37603 │          │          │                   │                                                │ loader-utils:Regular expression denial of service            │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2022-37603                   │
├────────────────────────┼────────────────┤          ├──────────┼───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ lodash.template        │ CVE-2021-23337 │          │ affected │ 4.5.0             │                                                │ nodejs-lodash: command injection via template                │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2021-23337                   │
├────────────────────────┼────────────────┤          ├──────────┼───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ minimatch              │ CVE-2022-3517  │          │ fixed    │ 3.0.4             │ 3.0.5                                          │ nodejs-minimatch: ReDoS via the braceExpand function         │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2022-3517                    │
├────────────────────────┼────────────────┤          │          ├───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ node-forge             │ CVE-2022-24771 │          │          │ 0.10.0            │ 1.3.0                                          │ node-forge: Signature verification leniency in checking      │
│                        │                │          │          │                   │                                                │ `digestAlgorithm` structure can lead to signature...         │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2022-24771                   │
│                        ├────────────────┤          │          │                   │                                                ├──────────────────────────────────────────────────────────────┤
│                        │ CVE-2022-24772 │          │          │                   │                                                │ node-forge: Signature verification failing to check tailing  │
│                        │                │          │          │                   │                                                │ garbage bytes can lead to...                                 │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2022-24772                   │
├────────────────────────┼────────────────┤          │          ├───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ nth-check              │ CVE-2021-3803  │          │          │ 1.0.2             │ 2.0.1                                          │ nodejs-nth-check: inefficient regular expression complexity  │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2021-3803                    │
├────────────────────────┼────────────────┼──────────┤          ├───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ shell-quote            │ CVE-2021-42740 │ CRITICAL │          │ 1.7.2             │ 1.7.3                                          │ The shell-quote package before 1.7.3 for Node.js allows      │
│                        │                │          │          │                   │                                                │ command inject ...                                           │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2021-42740                   │
├────────────────────────┼────────────────┤          │          ├───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ underscore             │ CVE-2021-23358 │          │          │ 1.9.1             │ 1.12.1                                         │ nodejs-underscore: Arbitrary code execution via the template │
│                        │                │          │          │                   │                                                │ function                                                     │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2021-23358                   │
├────────────────────────┼────────────────┼──────────┤          ├───────────────────┼────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ webpack-dev-middleware │ CVE-2024-29180 │ HIGH     │          │ 3.7.3             │ 7.1.0, 6.1.2, 5.3.4                            │ webpack-dev-middleware: lack of URL validation may lead to   │
│                        │                │          │          │                   │                                                │ file leak                                                    │
│                        │                │          │          │                   │                                                │ https://avd.aquasec.com/nvd/cve-2024-29180                   │
└────────────────────────┴────────────────┴──────────┴──────────┴───────────────────┴────────────────────────────────────────────────┴──────────────────────────────────────────────────────────────┘

yarn.lock (yarn)
================
Total: 14 (HIGH: 14, CRITICAL: 0)

┌──────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────┬─────────────────────────────────────────────────────────────┐
│     Library      │ Vulnerability  │ Severity │ Status │ Installed Version │        Fixed Version         │                            Title                            │
├──────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ ansi-regex       │ CVE-2021-3807  │ HIGH     │ fixed  │ 3.0.0             │ 6.0.1, 5.0.1, 4.1.1, 3.0.1   │ nodejs-ansi-regex: Regular expression denial of service     │
│                  │                │          │        │                   │                              │ (ReDoS) matching ANSI escape codes                          │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2021-3807                   │
│                  │                │          │        ├───────────────────┤                              │                                                             │
│                  │                │          │        │ 5.0.0             │                              │                                                             │
│                  │                │          │        │                   │                              │                                                             │
│                  │                │          │        │                   │                              │                                                             │
├──────────────────┼────────────────┤          │        ├───────────────────┼──────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ braces           │ CVE-2024-4068  │          │        │ 3.0.2             │ 3.0.3                        │ braces: fails to limit the number of characters it can      │
│                  │                │          │        │                   │                              │ handle                                                      │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-4068                   │
├──────────────────┼────────────────┤          │        ├───────────────────┼──────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ electron-updater │ CVE-2024-39698 │          │        │ 5.2.4             │ 6.3.0-alpha.6                │ electron-updater Code Signing Bypass on Windows             │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-39698                  │
├──────────────────┼────────────────┤          │        ├───────────────────┼──────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ json-bigint      │ CVE-2020-8237  │          │        │ 0.3.1             │ 1.0.0                        │ nodejs-json-bigint: Prototype pollution via `__proto__`     │
│                  │                │          │        │                   │                              │ assignment could result in DoS                              │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2020-8237                   │
├──────────────────┼────────────────┤          │        ├───────────────────┼──────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ minimatch        │ CVE-2022-3517  │          │        │ 3.0.4             │ 3.0.5                        │ nodejs-minimatch: ReDoS via the braceExpand function        │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2022-3517                   │
├──────────────────┼────────────────┤          │        ├───────────────────┼──────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ moment           │ CVE-2022-24785 │          │        │ 2.29.1            │ 2.29.2                       │ Moment.js: Path traversal in moment.locale                  │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2022-24785                  │
│                  ├────────────────┤          │        │                   ├──────────────────────────────┼─────────────────────────────────────────────────────────────┤
│                  │ CVE-2022-31129 │          │        │                   │ 2.29.4                       │ moment: inefficient parsing algorithm resulting in DoS      │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2022-31129                  │
├──────────────────┼────────────────┤          │        ├───────────────────┼──────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ node-fetch       │ CVE-2022-0235  │          │        │ 1.7.3             │ 3.1.1, 2.6.7                 │ node-fetch: exposure of sensitive information to an         │
│                  │                │          │        │                   │                              │ unauthorized actor                                          │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2022-0235                   │
│                  │                │          │        ├───────────────────┤                              │                                                             │
│                  │                │          │        │ 2.6.1             │                              │                                                             │
│                  │                │          │        │                   │                              │                                                             │
│                  │                │          │        │                   │                              │                                                             │
│                  │                │          │        ├───────────────────┤                              │                                                             │
│                  │                │          │        │ 2.6.6             │                              │                                                             │
│                  │                │          │        │                   │                              │                                                             │
│                  │                │          │        │                   │                              │                                                             │
├──────────────────┼────────────────┤          │        ├───────────────────┼──────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ node-forge       │ CVE-2022-24771 │          │        │ 0.10.0            │ 1.3.0                        │ node-forge: Signature verification leniency in checking     │
│                  │                │          │        │                   │                              │ `digestAlgorithm` structure can lead to signature...        │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2022-24771                  │
│                  ├────────────────┤          │        │                   │                              ├─────────────────────────────────────────────────────────────┤
│                  │ CVE-2022-24772 │          │        │                   │                              │ node-forge: Signature verification failing to check tailing │
│                  │                │          │        │                   │                              │ garbage bytes can lead to...                                │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2022-24772                  │
├──────────────────┼────────────────┤          │        ├───────────────────┼──────────────────────────────┼─────────────────────────────────────────────────────────────┤
│ ws               │ CVE-2024-37890 │          │        │ 7.5.6             │ 5.2.4, 6.2.3, 7.5.10, 8.17.1 │ nodejs-ws: denial of service when handling a request with   │
│                  │                │          │        │                   │                              │ many HTTP headers...                                        │
│                  │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-37890                  │
└──────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────┴─────────────────────────────────────────────────────────────┘
baruchiro commented 1 month ago

OK I see. There are a lot of vulnerabilities on Github Security Insights, most of them because of outdated dependencies.

The dependencies issue has been with us for a long time, and I'm working on moving all the core code into a new codebase.

sk3pp3r commented 1 month ago

@baruchiro Great, You/We/Me can use Github Action for vulnerabilty scan