search

zilliztech / attu

The GUI for Milvus
https://github.com/zilliztech/attu
Apache License 2.0
1.31k stars 129 forks source link

Dependencies vulnerabilities in attu@2.2.7 #221

Closed FraPazGal closed 1 year ago

FraPazGal commented 1 year ago

Describe the bug:

Running a security scan such as Trivy on the latest released version reported several CVEs:

$ trivy --version
Version: 0.41.0

$ trivy image --vuln-type library zilliz/attu:v2.2.7
...
┌─────────────────────────────────────┬─────────────────────┬──────────┬───────────────────┬─────────────────────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│               Library               │    Vulnerability    │ Severity │ Installed Version │                      Fixed Version                      │                            Title                             │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ansi-regex (package.json)           │ CVE-2021-3807       │ HIGH     │ 3.0.0             │ 3.0.1, 4.1.1, 5.0.1, 6.0.1                              │ Regular expression denial of service (ReDoS) matching ANSI   │
│                                     │                     │          │                   │                                                         │ escape codes                                                 │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2021-3807                    │
│                                     │                     │          ├───────────────────┤                                                         │                                                              │
│                                     │                     │          │ 4.1.0             │                                                         │                                                              │
│                                     │                     │          │                   │                                                         │                                                              │
│                                     │                     │          │                   │                                                         │                                                              │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ class-validator (package.json)      │ CVE-2019-18413      │ CRITICAL │ 0.13.1            │ 0.14.0                                                  │ SQL Injection and Cross-site Scripting in class-validator    │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2019-18413                   │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ decode-uri-component (package.json) │ CVE-2022-38900      │ HIGH     │ 0.2.0             │ 0.2.1                                                   │ improper input validation resulting in DoS                   │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2022-38900                   │
├─────────────────────────────────────┼─────────────────────┤          ├───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ engine.io (package.json)            │ CVE-2022-21676      │          │ 6.0.0             │ 6.1.1, 5.2.1, 4.1.2                                     │ Uncaught Exception in engine.io                              │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2022-21676                   │
│                                     ├─────────────────────┼──────────┤                   ├─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                     │ CVE-2022-41940      │ MEDIUM   │                   │ 6.2.1, 3.6.1                                            │ Specially crafted HTTP request can trigger an uncaught       │
│                                     │                     │          │                   │                                                         │ exception                                                    │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2022-41940                   │
│                                     ├─────────────────────┤          │                   ├─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                     │ CVE-2023-31125      │          │                   │ 6.4.2                                                   │ Uncaught exception in engine.io                              │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2023-31125                   │
├─────────────────────────────────────┼─────────────────────┤          ├───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ got (package.json)                  │ CVE-2022-33987      │          │ 6.7.1             │ 11.8.5, 12.1.0                                          │ missing verification of requested URLs allows redirects to   │
│                                     │                     │          │                   │                                                         │ UNIX sockets                                                 │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2022-33987                   │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ http-cache-semantics (package.json) │ CVE-2022-25881      │ HIGH     │ 3.8.1             │ 4.1.1                                                   │ Regular Expression Denial of Service (ReDoS) vulnerability   │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2022-25881                   │
├─────────────────────────────────────┼─────────────────────┤          ├───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ minimatch (package.json)            │ CVE-2022-3517       │          │ 3.0.4             │ 3.0.5                                                   │ ReDoS via the braceExpand function                           │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2022-3517                    │
│                                     │                     │          │                   │                                                         │                                                              │
│                                     │                     │          │                   │                                                         │                                                              │
│                                     │                     │          │                   │                                                         │                                                              │
├─────────────────────────────────────┼─────────────────────┤          ├───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ moment (package.json)               │ CVE-2022-24785      │          │ 2.29.1            │ 2.29.2                                                  │ Path traversal in moment.locale                              │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2022-24785                   │
│                                     ├─────────────────────┤          │                   ├─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                     │ CVE-2022-31129      │          │                   │ 2.29.4                                                  │ inefficient parsing algorithm resulting in DoS               │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2022-31129                   │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ moment-timezone (package.json)      │ GHSA-v78c-4p63-2j6c │ MEDIUM   │ 0.5.33            │ 0.5.35                                                  │ Cleartext Transmission of Sensitive Information in           │
│                                     │                     │          │                   │                                                         │ moment-timezone                                              │
│                                     │                     │          │                   │                                                         │ https://github.com/advisories/GHSA-v78c-4p63-2j6c            │
│                                     ├─────────────────────┼──────────┤                   │                                                         ├──────────────────────────────────────────────────────────────┤
│                                     │ GHSA-56x4-j7p9-fcf9 │ LOW      │                   │                                                         │ Command Injection in moment-timezone                         │
│                                     │                     │          │                   │                                                         │ https://github.com/advisories/GHSA-56x4-j7p9-fcf9            │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ protobufjs (package.json)           │ CVE-2023-36665      │ HIGH     │ 7.1.2             │ 7.2.4                                                   │ prototype pollution using user-controlled protobuf message   │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2023-36665                   │
│                                     │                     │          ├───────────────────┤                                                         │                                                              │
│                                     │                     │          │ 7.2.3             │                                                         │                                                              │
│                                     │                     │          │                   │                                                         │                                                              │
├─────────────────────────────────────┼─────────────────────┤          ├───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ qs (package.json)                   │ CVE-2022-24999      │          │ 6.5.2             │ 6.2.4, 6.3.3, 6.4.1, 6.5.3, 6.6.1, 6.7.3, 6.8.3, 6.9.7, │ "qs" prototype poisoning causes the hang of the node process │
│                                     │                     │          │                   │ 6.10.3                                                  │ https://avd.aquasec.com/nvd/cve-2022-24999                   │
│                                     │                     │          ├───────────────────┤                                                         │                                                              │
│                                     │                     │          │ 6.7.0             │                                                         │                                                              │
│                                     │                     │          │                   │                                                         │                                                              │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ request (package.json)              │ CVE-2023-28155      │ MEDIUM   │ 2.88.0            │                                                         │ The Request package through 2.88.1 for Node.js allows a      │
│                                     │                     │          │                   │                                                         │ bypass of SSRF...                                            │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2023-28155                   │
├─────────────────────────────────────┼─────────────────────┤          ├───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ semver (package.json)               │ CVE-2022-25883      │          │ 5.7.1             │ 5.7.2, 6.3.1, 7.5.2                                     │ Regular expression denial of service                         │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2022-25883                   │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ socket.io-parser (package.json)     │ CVE-2022-2421       │ CRITICAL │ 4.0.4             │ 3.4.2, 3.3.3, 4.0.5, 4.2.1                              │ Insufficient validation when decoding a Socket.IO packet     │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2022-2421                    │
│                                     ├─────────────────────┼──────────┤                   ├─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                                     │ CVE-2023-32695      │ HIGH     │                   │ 4.2.3, 3.4.3                                            │ socket.io parser is a socket.io encoder and decoder written  │
│                                     │                     │          │                   │                                                         │ in JavaScr ......                                            │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2023-32695                   │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼─────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ swagger-ui-dist (package.json)      │ CVE-2021-46708      │ MEDIUM   │ 3.52.5            │ 4.1.3                                                   │ Spoofing attack in swagger-ui-dist                           │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2021-46708                   │
│                                     ├─────────────────────┤          │                   │                                                         ├──────────────────────────────────────────────────────────────┤
│                                     │ GHSA-qrmm-w75w-3wpx │          │                   │                                                         │ Server side request forgery in SwaggerUI                     │
│                                     │                     │          │                   │                                                         │ https://github.com/advisories/GHSA-qrmm-w75w-3wpx            │
├─────────────────────────────────────┼─────────────────────┤          ├───────────────────┤                                                         ├──────────────────────────────────────────────────────────────┤
│ tough-cookie (package.json)         │ CVE-2023-26136      │          │ 2.4.3             │                                                         │ prototype pollution in cookie memstore                       │
│                                     │                     │          │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2023-26136                   │
└─────────────────────────────────────┴─────────────────────┴──────────┴───────────────────┴─────────────────────────────────────────────────────────┴──────────────────────────────────────────────────────────────┘

Could you please confirm whether this vulnerabilities affect attu and if so, if there are any plan to update the affected depencencies?

Steps to reproduce:

  1. Run trivy

Attu version:

v2.2.7

shanghaikid commented 1 year ago

Thanks, some packages are pretty old, I will update these dependencies in this week.