Open ckfbot opened 1 month ago
For OSS Maintainers: VEX Notice -------------------------------- If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement. VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users. Learn more and start using VEX: https://aquasecurity.github.io/trivy/v0.56/docs/supply-chain/vex/repo#publishing-vex-documents To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable. charmedkubeflow/visualization-server:2.2.0-d65cd0c (ubuntu 22.04) ================================================================= Total: 0 (HIGH: 0, CRITICAL: 0) Python (python-pkg) =================== Total: 29 (HIGH: 25, CRITICAL: 4) ┌─────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ Werkzeug (METADATA) │ CVE-2023-25577 │ HIGH │ fixed │ 2.1.2 │ 2.2.3 │ python-werkzeug: high resource usage when parsing multipart │ │ │ │ │ │ │ │ form data with many fields... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25577 │ │ ├────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-34069 │ │ │ │ 3.0.3 │ python-werkzeug: user may execute code on a developer's │ │ │ │ │ │ │ │ machine │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34069 │ ├─────────────────────────┼────────────────┤ │ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ ipython (METADATA) │ CVE-2022-21699 │ │ │ 7.12.0 │ 5.11, 7.16.3, 7.31.1, 8.0.1 │ IPython (Interactive Python) is a command shell for │ │ │ │ │ │ │ │ interactive comput ... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21699 │ ├─────────────────────────┼────────────────┼──────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ joblib (METADATA) │ CVE-2022-21797 │ CRITICAL │ │ 0.14.1 │ 1.2.0 │ The package joblib from 0 and before 1.2.0 are vulnerable to │ │ │ │ │ │ │ │ Arbitrary... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21797 │ ├─────────────────────────┼────────────────┤ │ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ keras (METADATA) │ CVE-2024-3660 │ │ │ 2.10.0 │ 2.13.1rc0 │ Keras code injection vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-3660 │ ├─────────────────────────┼────────────────┼──────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ orjson (METADATA) │ CVE-2024-27454 │ HIGH │ │ 3.9.7 │ 3.9.15 │ orjson.loads in orjson before 3.9.15 does not limit │ │ │ │ │ │ │ │ recursion for deep ...... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-27454 │ ├─────────────────────────┼────────────────┼──────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ pyarrow (METADATA) │ CVE-2023-47248 │ CRITICAL │ │ 5.0.0 │ 14.0.1 │ PyArrow: Arbitrary code execution when loading a malicious │ │ │ │ │ │ │ │ data file │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-47248 │ ├─────────────────────────┼────────────────┼──────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ scikit-learn (METADATA) │ CVE-2020-28975 │ HIGH │ │ 0.24.2 │ 1.0.1 │ scikit-learn Denial of Service │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-28975 │ ├─────────────────────────┼────────────────┤ │ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ setuptools (METADATA) │ CVE-2024-6345 │ │ │ 69.1.0 │ 70.0.0 │ pypa/setuptools: Remote code execution via download │ │ │ │ │ │ │ │ functions in the package_index module in... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-6345 │ ├─────────────────────────┼────────────────┼──────────┤ ├───────────────────┼─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ tensorflow (METADATA) │ CVE-2023-25668 │ CRITICAL │ │ 2.10.1 │ 2.11.1 │ CVE-2023-25668 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25668 │ │ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25658 │ HIGH │ │ │ │ CVE-2023-25658 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25658 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25659 │ │ │ │ │ CVE-2023-25659 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25659 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25660 │ │ │ │ │ CVE-2023-25660 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25660 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25662 │ │ │ │ │ CVE-2023-25662 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25662 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25663 │ │ │ │ │ CVE-2023-25663 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25663 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25664 │ │ │ │ │ CVE-2023-25664 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25664 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25665 │ │ │ │ │ CVE-2023-25665 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25665 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25666 │ │ │ │ │ CVE-2023-25666 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25666 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25669 │ │ │ │ │ CVE-2023-25669 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25669 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25670 │ │ │ │ │ CVE-2023-25670 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25670 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25671 │ │ │ │ │ CVE-2023-25671 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25671 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25672 │ │ │ │ │ CVE-2023-25672 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25672 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25673 │ │ │ │ │ CVE-2023-25673 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25673 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25674 │ │ │ │ │ CVE-2023-25674 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25674 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25675 │ │ │ │ │ CVE-2023-25675 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25675 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25676 │ │ │ │ │ CVE-2023-25676 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25676 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-25801 │ │ │ │ │ CVE-2023-25801 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-25801 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-27579 │ │ │ │ │ CVE-2023-27579 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-27579 │ │ ├────────────────┤ │ │ ├─────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-33976 │ │ │ │ 2.12.1 │ CVE-2023-33976 affecting package tensorflow for versions │ │ │ │ │ │ │ │ less than 2.11.1-2 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-33976 │ └─────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────────────┴──────────────────────────────────────────────────────────────┘ usr/local/gcloud/google-cloud-sdk/bin/gcloud-crc32c (gobinary) ============================================================== Total: 3 (HIGH: 2, CRITICAL: 1) ┌─────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────┬────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────┼────────────────────────────────────────────────────────────┤ │ stdlib │ CVE-2024-24790 │ CRITICAL │ fixed │ 1.21.5 │ 1.21.11, 1.22.4 │ golang: net/netip: Unexpected behavior from Is methods for │ │ │ │ │ │ │ │ IPv4-mapped IPv6 addresses │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24790 │ │ ├────────────────┼──────────┤ │ ├─────────────────┼────────────────────────────────────────────────────────────┤ │ │ CVE-2023-45288 │ HIGH │ │ │ 1.21.9, 1.22.2 │ golang: net/http, x/net/http2: unlimited number of │ │ │ │ │ │ │ │ CONTINUATION frames causes DoS │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45288 │ │ ├────────────────┤ │ │ ├─────────────────┼────────────────────────────────────────────────────────────┤ │ │ CVE-2024-34156 │ │ │ │ 1.22.7, 1.23.1 │ encoding/gob: golang: Calling Decoder.Decode on a message │ │ │ │ │ │ │ │ which contains deeply nested structures... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34156 │ └─────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────┴────────────────────────────────────────────────────────────┘ /usr/local/gcloud/google-cloud-sdk/platform/gsutil/third_party/urllib3/dummyserver/certs/cacert.key (secrets) ============================================================================================================= Total: 1 (HIGH: 1, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/platform/gsutil/third_party/urllib3/dummyserver/certs/cacert.key:1 (added by 'umoci raw add-layer --image /root/images') ──────────────────────────────────────── 1 [ ----BEGIN RSA PRIVATE KEY-----**********************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************-----END RSA PRIVATE 2 ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/platform/gsutil/third_party/urllib3/dummyserver/certs/server.key (secrets) ============================================================================================================= Total: 1 (HIGH: 1, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/platform/gsutil/third_party/urllib3/dummyserver/certs/server.key:1 (added by 'umoci raw add-layer --image /root/images') ──────────────────────────────────────── 1 [ ----BEGIN RSA PRIVATE KEY-----**********************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************-----END RSA PRIVATE 2 ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/platform/gsutil/third_party/pyasn1-modules/tools/__pycache__/pkcs1dump.cpython-311.pyc (secrets) =================================================================================================================================== Total: 2 (HIGH: 2, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/lib/third_party/oauth2client/__pycache__/_pure_python_crypt.cpython-311.pyc (secrets) ======================================================================================================================== Total: 2 (HIGH: 2, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/platform/bq/third_party/oauth2client_4_0/__pycache__/_pure_python_crypt.cpython-311.pyc (secrets) ==================================================================================================================================== Total: 2 (HIGH: 2, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/platform/gsutil/gslib/vendored/oauth2client/oauth2client/__pycache__/_pure_python_crypt.cpython-311.pyc (secrets) ==================================================================================================================================================== Total: 2 (HIGH: 2, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/platform/gsutil/third_party/google-auth-library-python/google/auth/crypt/__pycache__/_python_rsa.cpython-311.pyc (secrets) ============================================================================================================================================================= Total: 2 (HIGH: 2, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/lib/third_party/oauth2client/__pycache__/_pure_python_crypt.cpython-310.pyc (secrets) ======================================================================================================================== Total: 2 (HIGH: 2, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/.install/.backup/lib/third_party/oauth2client/__pycache__/_pure_python_crypt.cpython-310.pyc (secrets) ========================================================================================================================================= Total: 2 (HIGH: 2, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/lib/third_party/google/auth/crypt/__pycache__/_python_rsa.cpython-311.pyc (secrets) ====================================================================================================================== Total: 2 (HIGH: 2, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/.install/.backup/lib/third_party/google/auth/crypt/__pycache__/_python_rsa.cpython-310.pyc (secrets) ======================================================================================================================================= Total: 2 (HIGH: 2, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/platform/bq/third_party/google/auth/crypt/__pycache__/_python_rsa.cpython-311.pyc (secrets) ============================================================================================================================== Total: 2 (HIGH: 2, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/platform/gsutil/third_party/pyasn1-modules/tools/__pycache__/pkcs8dump.cpython-311.pyc (secrets) =================================================================================================================================== Total: 1 (HIGH: 1, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── /usr/local/gcloud/google-cloud-sdk/lib/third_party/google/auth/crypt/__pycache__/_python_rsa.cpython-310.pyc (secrets) ====================================================================================================================== Total: 2 (HIGH: 2, CRITICAL: 0) HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ──────────────────────────────────────── HIGH: AsymmetricPrivateKey (private-key) ════════════════════════════════════════ Asymmetric Private Key ────────────────────────────────────────
Details: https://github.com/canonical/pipelines-rocks/actions/runs/11847023309
Vulnerabilities found for visualization-server:2.2.0
Details: https://github.com/canonical/pipelines-rocks/actions/runs/11847023309