Closed zhangguanzhang closed 6 months ago
bin/process-exporter (gobinary) Total: 14 (UNKNOWN: 0, LOW: 0, MEDIUM: 6, HIGH: 8, CRITICAL: 0) ┌────────────────────────────────────────┬────────────────┬──────────┬────────┬────────────────────────────────────┬───────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────────────────┼────────────────┼──────────┼────────┼────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/prometheus/client_golang │ CVE-2022-21698 │ HIGH │ fixed │ v1.11.0 │ 1.11.1 │ prometheus/client_golang: Denial of service using │ │ │ │ │ │ │ │ InstrumentHandlerCounter │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21698 │ ├────────────────────────────────────────┼────────────────┼──────────┤ ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/prometheus/exporter-toolkit │ CVE-2022-46146 │ MEDIUM │ │ v0.7.0 │ 0.7.2, 0.8.2 │ exporter-toolkit: authentication bypass via cache poisoning │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-46146 │ ├────────────────────────────────────────┼────────────────┼──────────┤ ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/crypto │ CVE-2021-43565 │ HIGH │ │ v0.0.0-20210616213533-5ff15b29337e │ 0.0.0-20211202192323-5770296d904e │ golang.org/x/crypto: empty plaintext packet causes panic │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-43565 │ │ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-27191 │ │ │ │ 0.0.0-20220314234659-1baeb1ce4c0b │ golang: crash in a golang.org/x/crypto/ssh server │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27191 │ │ ├────────────────┼──────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-48795 │ MEDIUM │ │ │ 0.17.0 │ ssh: Prefix truncation attack on Binary Packet Protocol │ │ │ │ │ │ │ │ (BPP) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-48795 │ ├────────────────────────────────────────┼────────────────┼──────────┤ ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/net │ CVE-2022-27664 │ HIGH │ │ v0.0.0-20210525063256-abc453219eb5 │ 0.0.0-20220906165146-f3363e06e74c │ golang: net/http: handle server errors after sending GOAWAY │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27664 │ │ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-41723 │ │ │ │ 0.7.0 │ net/http, golang.org/x/net/http2: avoid quadratic complexity │ │ │ │ │ │ │ │ in HPACK decoding │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-41723 │ │ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-39325 │ │ │ │ 0.17.0 │ golang: net/http, x/net/http2: rapid stream resets can cause │ │ │ │ │ │ │ │ excessive work (CVE-2023-44487) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325 │ │ ├────────────────┼──────────┤ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-3978 │ MEDIUM │ │ │ 0.13.0 │ golang.org/x/net/html: Cross site scripting │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3978 │ │ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-44487 │ │ │ │ 0.17.0 │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable │ │ │ │ │ │ │ │ to a DDoS attack... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-44487 │ ├────────────────────────────────────────┼────────────────┤ │ ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/sys │ CVE-2022-29526 │ │ │ v0.0.0-20210615035016-665e8c7367d1 │ 0.0.0-20220412211240-33da011f77ad │ golang: syscall: faccessat checks wrong group │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29526 │ ├────────────────────────────────────────┼────────────────┼──────────┤ ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/text │ CVE-2021-38561 │ HIGH │ │ v0.3.6 │ 0.3.7 │ golang: out-of-bounds read in golang.org/x/text/language │ │ │ │ │ │ │ │ leads to DoS │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-38561 │ │ ├────────────────┤ │ │ ├───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-32149 │ │ │ │ 0.3.8 │ golang: golang.org/x/text/language: ParseAcceptLanguage │ │ │ │ │ │ │ │ takes a long time to parse complex tags │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32149 │ ├────────────────────────────────────────┼────────────────┼──────────┤ ├────────────────────────────────────┼───────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/protobuf │ CVE-2024-24786 │ MEDIUM │ │ v1.26.0-rc.1 │ 1.33.0 │ golang-protobuf: encoding/protojson, internal/encoding/json: │ │ │ │ │ │ │ │ infinite loop in protojson.Unmarshal when unmarshaling │ │ │ │ │ │ │ │ certain forms of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-24786 │ └────────────────────────────────────────┴────────────────┴──────────┴────────┴────────────────────────────────────┴───────────────────────────────────┴──────────────────────────────────────────────────────────────┘
https://github.com/zhangguanzhang/process-exporter
Fixed in https://github.com/ncabatoff/process-exporter/releases/tag/v0.7.11