Open ozbillwang opened 5 months ago
Not bug or feature.
Need upgrade the lib versions to pass the vulnerabilities scan
usr/local/bin/boilerplate (gobinary) Total: 5 (HIGH: 5, CRITICAL: 0) ┌────────────────────────┬─────────────────────┬──────────┬────────┬────────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────┼─────────────────────┼──────────┼────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/net │ CVE-2022-27664 │ HIGH │ fixed │ v0.0.0-20211112202133-69e39bad7dc2 │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41723 │ │ │ │ 0.7.0 │ net/http, golang.org/x/net/http2: avoid quadratic complexity │ │ │ │ │ │ │ │ in HPACK decoding │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-39325 │ │ │ │ 0.17.0 │ golang: net/http, x/net/http2: rapid stream resets can cause │ │ │ │ │ │ │ │ excessive work (CVE-2023-44487) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │ ├────────────────────────┼─────────────────────┤ │ ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/text │ CVE-2022-32149 │ │ │ v0.3.7 │ 0.3.8 │ golang: golang.org/x/text/language: ParseAcceptLanguage │ │ │ │ │ │ │ │ takes a long time to parse complex tags │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32149 │ ├────────────────────────┼─────────────────────┤ │ ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/grpc │ GHSA-m425-mq94-257g │ │ │ v1.38.0 │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-m425-mq94-257g │ └────────────────────────┴─────────────────────┴──────────┴────────┴────────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
Not bug or feature.
Need upgrade the lib versions to pass the vulnerabilities scan