search

seglo / kafka-lag-exporter

Monitor Kafka Consumer Group Latency with Kafka Lag Exporter
Apache License 2.0
650 stars 191 forks source link

CVEs found on kafka-lag-exporter image 0.8.2 #435

Open fouadsemaan opened 1 year ago

fouadsemaan commented 1 year ago

CVE-2020-28491 - jackson-dataformat-cbor - Fixed version: 2.11.4 CVE-2022-43680 - expat - Fixed version: 2.5.0-r0 CVE-2022-42003 - jackson-databind - Fixed version: 2.13.4.1 CVE-2022-42004 - jackson-databind - Fixed version: 2.13.4 CVE-2022-25857 - snakeyaml - Fixed version: 1.31

The above CVEs were marked as HIGH by image scanner.

krkazmier commented 1 year ago

Seeing some additional CVEs as well, @seglo can you confirm that these are being tracked? Thanks in advance!

Java (jar)

Total: 9 (UNKNOWN: 0, LOW: 1, MEDIUM: 5, HIGH: 3, CRITICAL: 0)

┌──────────────────────────────────────────────────────────┬────────────────┬──────────┬───────────────────┬────────────────────┬──────────────────────────────────────────────────────────────┐
│                         Library                          │ Vulnerability  │ Severity │ Installed Version │   Fixed Version    │                            Title                             │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind              │ CVE-2022-42003 │ HIGH     │ 2.13.3            │ 2.12.7.1, 2.13.4.1 │ jackson-databind: deep wrapper array nesting wrt             │
│ (com.fasterxml.jackson.core.jackson-databind-2.13.3.jar) │                │          │                   │                    │ UNWRAP_SINGLE_VALUE_ARRAYS                                   │
│                                                          │                │          │                   │                    │ https://avd.aquasec.com/nvd/cve-2022-42003                   │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ com.fasterxml.jackson.core:jackson-databind              │ CVE-2022-42004 │ HIGH     │ 2.13.3            │ 2.12.7.1, 2.13.4   │ jackson-databind: use of deeply nested arrays                │
│ (com.fasterxml.jackson.core.jackson-databind-2.13.3.jar) │                │          │                   │                    │ https://avd.aquasec.com/nvd/cve-2022-42004                   │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ io.netty:netty-codec-http                                │ CVE-2022-41915 │ LOW      │ 4.1.77.Final      │ 4.1.86.Final       │ Netty project is an event-driven asynchronous network        │
│ (io.netty.netty-codec-http-4.1.77.Final.jar)             │                │          │                   │                    │ application fram ...                                         │
│                                                          │                │          │                   │                    │ https://avd.aquasec.com/nvd/cve-2022-41915                   │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (org.yaml.snakeyaml-1.26.jar)         │ CVE-2022-25857 │ HIGH     │ 1.26              │ 1.31               │ snakeyaml: Denial of Service due to missing nested depth     │
│                                                          │                │          │                   │                    │ limitation for collections...                                │
│                                                          │                │          │                   │                    │ https://avd.aquasec.com/nvd/cve-2022-25857                   │
│                                                          ├────────────────┼──────────┤                   │                    ├──────────────────────────────────────────────────────────────┤
│                                                          │ CVE-2022-38749 │ MEDIUM   │                   │                    │ snakeyaml: Uncaught exception in                             │
│                                                          │                │          │                   │                    │ org.yaml.snakeyaml.composer.Composer.composeSequenceNode     │
│                                                          │                │          │                   │                    │ https://avd.aquasec.com/nvd/cve-2022-38749                   │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (org.yaml.snakeyaml-1.26.jar)         │ CVE-2022-38750 │ MEDIUM   │ 1.26              │ 1.31               │ snakeyaml: Uncaught exception in                             │
│                                                          │                │          │                   │                    │ org.yaml.snakeyaml.constructor.BaseConstructor.constructObj- │
│                                                          │                │          │                   │                    │ ect                                                          │
│                                                          │                │          │                   │                    │ https://avd.aquasec.com/nvd/cve-2022-38750                   │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (org.yaml.snakeyaml-1.26.jar)         │ CVE-2022-38751 │ MEDIUM   │ 1.26              │ 1.31               │ snakeyaml: Uncaught exception in                             │
│                                                          │                │          │                   │                    │ java.base/java.util.regex.Pattern$Ques.match                 │
│                                                          │                │          │                   │                    │ https://avd.aquasec.com/nvd/cve-2022-38751                   │
│                                                          ├────────────────┤          │                   ├────────────────────┼──────────────────────────────────────────────────────────────┤
│                                                          │ CVE-2022-38752 │          │                   │ 1.32               │ snakeyaml: Uncaught exception in                             │
│                                                          │                │          │                   │                    │ java.base/java.util.ArrayList.hashCode                       │
│                                                          │                │          │                   │                    │ https://avd.aquasec.com/nvd/cve-2022-38752                   │
├──────────────────────────────────────────────────────────┼────────────────┼──────────┼───────────────────┼────────────────────┼──────────────────────────────────────────────────────────────┤
│ org.yaml:snakeyaml (org.yaml.snakeyaml-1.26.jar)         │ CVE-2022-41854 │ MEDIUM   │ 1.26              │ 1.32               │ dev-java/snakeyaml: DoS via stack overflow                   │
│                                                          │                │          │                   │                    │ https://avd.aquasec.com/nvd/cve-2022-41854                   │
└──────────────────────────────────────────────────────────┴────────────────┴──────────┴───────────────────┴────────────────────┴──────────────────────────────────────────────────────────────┘