Skip to content

0.8.0 flagged with CVE-2023-24538 #805

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Closed
perry-mitchell opened this issue Mar 24, 2025 · 6 comments
Closed

0.8.0 flagged with CVE-2023-24538 #805

perry-mitchell opened this issue Mar 24, 2025 · 6 comments

Comments

@perry-mitchell
Copy link

perry-mitchell commented Mar 24, 2025
edited
Loading

Hello!

I've been releasing the latest tag on Snowflake (SPCS) and have recently seen that pgvector has been flagged as having CVE-2023-24538.

Seems to be a super old CVE too. Any chance an update might be planned with updated dependencies? I've sent an email to the listed address on the Security tab too. Felt it was acceptable to share in an issue as they're so old.

EDIT: After scanning the image further, these vulnerabilities are present:

    ✗ CRITICAL CVE-2024-24790
      https://scout.docker.com/v/CVE-2024-24790?s=golang&n=stdlib&t=golang&vr=%3C1.21.11
      Affected range : <1.21.11
      Fixed version  : 1.21.11

    ✗ CRITICAL CVE-2023-24540
      https://scout.docker.com/v/CVE-2023-24540?s=golang&n=stdlib&t=golang&vr=%3C1.19.9
      Affected range : <1.19.9
      Fixed version  : 1.19.9

    ✗ CRITICAL CVE-2023-24538
      https://scout.docker.com/v/CVE-2023-24538?s=golang&n=stdlib&t=golang&vr=%3C1.19.8
      Affected range : <1.19.8
      Fixed version  : 1.19.8
@ankane
Copy link
Member

ankane commented Mar 24, 2025

Hi @perry-mitchell, these are CVEs with Go. pgvector isn't written in Go, and the Docker image doesn't have it installed.

@ankane ankane closed this as completed Mar 24, 2025
@ovatto
Copy link

ovatto commented Mar 24, 2025
edited
Loading

The Docker entrypoint does use gosu and that is the one that is flagged with CVES. The binary is at /usr/local/bin/gosu. I think it comes from the base image and is used roughly here:

https://github.com/docker-library/postgres/blob/cc254e85ed86e1f8c9052f9cbf0e3320324f0421/docker-entrypoint.sh#L316

@jkatz
Copy link
Contributor

jkatz commented Mar 24, 2025

That is the base image provided by Docker. You'll need to work with the maintainers there to address this.

@perry-mitchell
Copy link
Author

perry-mitchell commented Mar 24, 2025
edited
Loading

It's a CVE in pgvector's dependency chain, so I think the issue is relevant, regardless of whether or not it can be patched immediately. It seems as though postgres would need to address this as well, but that doesn't remove the fact that the current latest build of this application is flagged with the vulnerability, and that's being picked up in scanners.

For instance, trivy can be used to identify this for youself:

$ trivy image pgvector/pgvector:0.8.0-pg17
2025-03-24T20:39:08+02:00	INFO	[vulndb] Need to update DB
2025-03-24T20:39:08+02:00	INFO	[vulndb] Downloading vulnerability DB...
2025-03-24T20:39:08+02:00	INFO	[vulndb] Downloading artifact...	repo="mirror.gcr.io/aquasec/trivy-db:2"
61.25 MiB / 61.25 MiB [-------------------------------------------------------------------------------------------------------------------] 100.00% 41.35 MiB p/s 1.7s
2025-03-24T20:39:13+02:00	INFO	[vulndb] Artifact successfully downloaded	repo="mirror.gcr.io/aquasec/trivy-db:2"
2025-03-24T20:39:13+02:00	INFO	[vuln] Vulnerability scanning is enabled
2025-03-24T20:39:13+02:00	INFO	[secret] Secret scanning is enabled
2025-03-24T20:39:13+02:00	INFO	[secret] If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2025-03-24T20:39:13+02:00	INFO	[secret] Please see also https://trivy.dev/v0.60/docs/scanner/secret#recommendation for faster secret detection
2025-03-24T20:39:20+02:00	INFO	Detected OS	family="debian" version="12.9"
2025-03-24T20:39:20+02:00	INFO	[debian] Detecting vulnerabilities...	os_version="12" pkg_num=147
2025-03-24T20:39:20+02:00	INFO	Number of language-specific files	num=1
2025-03-24T20:39:20+02:00	INFO	[gobinary] Detecting vulnerabilities...
2025-03-24T20:39:20+02:00	WARN	Using severities from other vendors for some vulnerabilities. Read https://trivy.dev/v0.60/docs/scanner/vulnerability#severity-selection for details.

Report Summary

┌────────────────────────────────────────────┬──────────┬─────────────────┬─────────┐
│                   Target                   │   Type   │ Vulnerabilities │ Secrets │
├────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ pgvector/pgvector:0.8.0-pg17 (debian 12.9) │  debian  │       163       │    -    │
├────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ usr/local/bin/gosu                         │ gobinary │       58        │    -    │
└────────────────────────────────────────────┴──────────┴─────────────────┴─────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)


pgvector/pgvector:0.8.0-pg17 (debian 12.9)

Total: 163 (UNKNOWN: 0, LOW: 118, MEDIUM: 33, HIGH: 11, CRITICAL: 1)
Full output here 
$ trivy image pgvector/pgvector:0.8.0-pg17
2025-03-24T20:39:08+02:00	INFO	[vulndb] Need to update DB
2025-03-24T20:39:08+02:00	INFO	[vulndb] Downloading vulnerability DB...
2025-03-24T20:39:08+02:00	INFO	[vulndb] Downloading artifact...	repo="mirror.gcr.io/aquasec/trivy-db:2"
61.25 MiB / 61.25 MiB [-------------------------------------------------------------------------------------------------------------------] 100.00% 41.35 MiB p/s 1.7s
2025-03-24T20:39:13+02:00	INFO	[vulndb] Artifact successfully downloaded	repo="mirror.gcr.io/aquasec/trivy-db:2"
2025-03-24T20:39:13+02:00	INFO	[vuln] Vulnerability scanning is enabled
2025-03-24T20:39:13+02:00	INFO	[secret] Secret scanning is enabled
2025-03-24T20:39:13+02:00	INFO	[secret] If your scanning is slow, please try '--scanners vuln' to disable secret scanning
2025-03-24T20:39:13+02:00	INFO	[secret] Please see also https://trivy.dev/v0.60/docs/scanner/secret#recommendation for faster secret detection
2025-03-24T20:39:20+02:00	INFO	Detected OS	family="debian" version="12.9"
2025-03-24T20:39:20+02:00	INFO	[debian] Detecting vulnerabilities...	os_version="12" pkg_num=147
2025-03-24T20:39:20+02:00	INFO	Number of language-specific files	num=1
2025-03-24T20:39:20+02:00	INFO	[gobinary] Detecting vulnerabilities...
2025-03-24T20:39:20+02:00	WARN	Using severities from other vendors for some vulnerabilities. Read https://trivy.dev/v0.60/docs/scanner/vulnerability#severity-selection for details.

Report Summary

┌────────────────────────────────────────────┬──────────┬─────────────────┬─────────┐
│                   Target                   │   Type   │ Vulnerabilities │ Secrets │
├────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ pgvector/pgvector:0.8.0-pg17 (debian 12.9) │  debian  │       163       │    -    │
├────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ usr/local/bin/gosu                         │ gobinary │       58        │    -    │
└────────────────────────────────────────────┴──────────┴─────────────────┴─────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)


pgvector/pgvector:0.8.0-pg17 (debian 12.9)

Total: 163 (UNKNOWN: 0, LOW: 118, MEDIUM: 33, HIGH: 11, CRITICAL: 1)

┌────────────────────┬─────────────────────┬──────────┬──────────────┬─────────────────────────┬──────────────────┬──────────────────────────────────────────────────────────────┐
│      Library       │    Vulnerability    │ Severity │    Status    │    Installed Version    │  Fixed Version   │                            Title                             │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ apt                │ CVE-2011-3374       │ LOW      │ affected     │ 2.6.1                   │                  │ It was found that apt-key in apt, all versions, do not       │
│                    │                     │          │              │                         │                  │ correctly...                                                 │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2011-3374                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ bash               │ TEMP-0841856-B18BAF │          │              │ 5.2.15-2+b7             │                  │ [Privilege escalation possible to other user than root]      │
│                    │                     │          │              │                         │                  │ https://security-tracker.debian.org/tracker/TEMP-0841856-B1- │
│                    │                     │          │              │                         │                  │ 8BAF                                                         │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils           │ CVE-2022-0563       │          │              │ 1:2.38.1-5+deb12u3      │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                         │                  │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┤          ├──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils          │ CVE-2016-2781       │          │ will_not_fix │ 9.1-1                   │                  │ coreutils: Non-privileged session can escape to the parent   │
│                    │                     │          │              │                         │                  │ session in chroot                                            │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2016-2781                    │
│                    ├─────────────────────┤          ├──────────────┤                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2017-18018      │          │ affected     │                         │                  │ coreutils: race condition vulnerability in chown and chgrp   │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2017-18018                   │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ dirmngr            │ CVE-2022-3219       │          │              │ 2.2.40-1.1              │                  │ gnupg: denial of service issue (resource consumption) using  │
│                    │                     │          │              │                         │                  │ compressed packets                                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-30258      │          │              │                         │                  │ gnupg: verification DoS due to a malicious subkey in the     │
│                    │                     │          │              │                         │                  │ keyring                                                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-30258                   │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ gcc-12-base        │ CVE-2022-27943      │          │              │ 12.2.0-14               │                  │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                    │                     │          │              │                         │                  │ stack exhaustion in demangle_const                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4039       │          │              │                         │                  │ gcc: -fstack-protector fails to guard dynamic stack          │
│                    │                     │          │              │                         │                  │ allocations on ARM64                                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-4039                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ gnupg              │ CVE-2022-3219       │          │              │ 2.2.40-1.1              │                  │ gnupg: denial of service issue (resource consumption) using  │
│                    │                     │          │              │                         │                  │ compressed packets                                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-30258      │          │              │                         │                  │ gnupg: verification DoS due to a malicious subkey in the     │
│                    │                     │          │              │                         │                  │ keyring                                                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-30258                   │
├────────────────────┼─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ gnupg-l10n         │ CVE-2022-3219       │          │              │                         │                  │ gnupg: denial of service issue (resource consumption) using  │
│                    │                     │          │              │                         │                  │ compressed packets                                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-30258      │          │              │                         │                  │ gnupg: verification DoS due to a malicious subkey in the     │
│                    │                     │          │              │                         │                  │ keyring                                                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-30258                   │
├────────────────────┼─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ gnupg-utils        │ CVE-2022-3219       │          │              │                         │                  │ gnupg: denial of service issue (resource consumption) using  │
│                    │                     │          │              │                         │                  │ compressed packets                                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-30258      │          │              │                         │                  │ gnupg: verification DoS due to a malicious subkey in the     │
│                    │                     │          │              │                         │                  │ keyring                                                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-30258                   │
├────────────────────┼─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ gpg                │ CVE-2022-3219       │          │              │                         │                  │ gnupg: denial of service issue (resource consumption) using  │
│                    │                     │          │              │                         │                  │ compressed packets                                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-30258      │          │              │                         │                  │ gnupg: verification DoS due to a malicious subkey in the     │
│                    │                     │          │              │                         │                  │ keyring                                                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-30258                   │
├────────────────────┼─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ gpg-agent          │ CVE-2022-3219       │          │              │                         │                  │ gnupg: denial of service issue (resource consumption) using  │
│                    │                     │          │              │                         │                  │ compressed packets                                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-30258      │          │              │                         │                  │ gnupg: verification DoS due to a malicious subkey in the     │
│                    │                     │          │              │                         │                  │ keyring                                                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-30258                   │
├────────────────────┼─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ gpg-wks-client     │ CVE-2022-3219       │          │              │                         │                  │ gnupg: denial of service issue (resource consumption) using  │
│                    │                     │          │              │                         │                  │ compressed packets                                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-30258      │          │              │                         │                  │ gnupg: verification DoS due to a malicious subkey in the     │
│                    │                     │          │              │                         │                  │ keyring                                                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-30258                   │
├────────────────────┼─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ gpg-wks-server     │ CVE-2022-3219       │          │              │                         │                  │ gnupg: denial of service issue (resource consumption) using  │
│                    │                     │          │              │                         │                  │ compressed packets                                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-30258      │          │              │                         │                  │ gnupg: verification DoS due to a malicious subkey in the     │
│                    │                     │          │              │                         │                  │ keyring                                                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-30258                   │
├────────────────────┼─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ gpgconf            │ CVE-2022-3219       │          │              │                         │                  │ gnupg: denial of service issue (resource consumption) using  │
│                    │                     │          │              │                         │                  │ compressed packets                                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-30258      │          │              │                         │                  │ gnupg: verification DoS due to a malicious subkey in the     │
│                    │                     │          │              │                         │                  │ keyring                                                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-30258                   │
├────────────────────┼─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ gpgsm              │ CVE-2022-3219       │          │              │                         │                  │ gnupg: denial of service issue (resource consumption) using  │
│                    │                     │          │              │                         │                  │ compressed packets                                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-30258      │          │              │                         │                  │ gnupg: verification DoS due to a malicious subkey in the     │
│                    │                     │          │              │                         │                  │ keyring                                                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-30258                   │
├────────────────────┼─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv               │ CVE-2022-3219       │          │              │                         │                  │ gnupg: denial of service issue (resource consumption) using  │
│                    │                     │          │              │                         │                  │ compressed packets                                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-30258      │          │              │                         │                  │ gnupg: verification DoS due to a malicious subkey in the     │
│                    │                     │          │              │                         │                  │ keyring                                                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-30258                   │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libapt-pkg6.0      │ CVE-2011-3374       │          │              │ 2.6.1                   │                  │ It was found that apt-key in apt, all versions, do not       │
│                    │                     │          │              │                         │                  │ correctly...                                                 │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2011-3374                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libblkid1          │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u3        │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                         │                  │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin           │ CVE-2025-0395       │ MEDIUM   │ fixed        │ 2.36-9+deb12u9          │ 2.36-9+deb12u10  │ glibc: buffer overflow in the GNU C Library's assert()       │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-0395                    │
│                    ├─────────────────────┼──────────┼──────────────┤                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2010-4756       │ LOW      │ affected     │                         │                  │ glibc: glob implementation can cause excessive CPU and       │
│                    │                     │          │              │                         │                  │ memory consumption due to...                                 │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2018-20796      │          │              │                         │                  │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                         │                  │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010022    │          │              │                         │                  │ glibc: stack guard protection bypass                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010023    │          │              │                         │                  │ glibc: running ldd on malicious ELF leads to code execution  │
│                    │                     │          │              │                         │                  │ because of...                                                │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010024    │          │              │                         │                  │ glibc: ASLR bypass using cache of thread stack and heap      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010025    │          │              │                         │                  │ glibc: information disclosure of heap addresses of           │
│                    │                     │          │              │                         │                  │ pthread_created thread                                       │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-9192       │          │              │                         │                  │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                         │                  │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-9192                    │
├────────────────────┼─────────────────────┼──────────┼──────────────┤                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libc-l10n          │ CVE-2025-0395       │ MEDIUM   │ fixed        │                         │ 2.36-9+deb12u10  │ glibc: buffer overflow in the GNU C Library's assert()       │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-0395                    │
│                    ├─────────────────────┼──────────┼──────────────┤                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2010-4756       │ LOW      │ affected     │                         │                  │ glibc: glob implementation can cause excessive CPU and       │
│                    │                     │          │              │                         │                  │ memory consumption due to...                                 │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2018-20796      │          │              │                         │                  │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                         │                  │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010022    │          │              │                         │                  │ glibc: stack guard protection bypass                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010023    │          │              │                         │                  │ glibc: running ldd on malicious ELF leads to code execution  │
│                    │                     │          │              │                         │                  │ because of...                                                │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010024    │          │              │                         │                  │ glibc: ASLR bypass using cache of thread stack and heap      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010025    │          │              │                         │                  │ glibc: information disclosure of heap addresses of           │
│                    │                     │          │              │                         │                  │ pthread_created thread                                       │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-9192       │          │              │                         │                  │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                         │                  │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-9192                    │
├────────────────────┼─────────────────────┼──────────┼──────────────┤                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libc6              │ CVE-2025-0395       │ MEDIUM   │ fixed        │                         │ 2.36-9+deb12u10  │ glibc: buffer overflow in the GNU C Library's assert()       │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-0395                    │
│                    ├─────────────────────┼──────────┼──────────────┤                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2010-4756       │ LOW      │ affected     │                         │                  │ glibc: glob implementation can cause excessive CPU and       │
│                    │                     │          │              │                         │                  │ memory consumption due to...                                 │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2018-20796      │          │              │                         │                  │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                         │                  │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010022    │          │              │                         │                  │ glibc: stack guard protection bypass                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010023    │          │              │                         │                  │ glibc: running ldd on malicious ELF leads to code execution  │
│                    │                     │          │              │                         │                  │ because of...                                                │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010024    │          │              │                         │                  │ glibc: ASLR bypass using cache of thread stack and heap      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010025    │          │              │                         │                  │ glibc: information disclosure of heap addresses of           │
│                    │                     │          │              │                         │                  │ pthread_created thread                                       │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-9192       │          │              │                         │                  │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                         │                  │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-9192                    │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libcap2            │ CVE-2025-1390       │ MEDIUM   │              │ 1:2.66-4                │                  │ libcap: pam_cap: Fix potential configuration parsing error   │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-1390                    │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc-s1          │ CVE-2022-27943      │ LOW      │              │ 12.2.0-14               │                  │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                    │                     │          │              │                         │                  │ stack exhaustion in demangle_const                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4039       │          │              │                         │                  │ gcc: -fstack-protector fails to guard dynamic stack          │
│                    │                     │          │              │                         │                  │ allocations on ARM64                                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-4039                    │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20        │ CVE-2024-2236       │ MEDIUM   │ fix_deferred │ 1.10.1-3                │                  │ libgcrypt: vulnerable to Marvin Attack                       │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-2236                    │
│                    ├─────────────────────┼──────────┼──────────────┤                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2018-6829       │ LOW      │ affected     │                         │                  │ libgcrypt: ElGamal implementation doesn't have semantic      │
│                    │                     │          │              │                         │                  │ security due to incorrectly encoded plaintexts...            │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2018-6829                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30        │ CVE-2011-3389       │          │              │ 3.7.9-2+deb12u4         │                  │ HTTPS: block-wise chosen-plaintext attack against SSL/TLS    │
│                    │                     │          │              │                         │                  │ (BEAST)                                                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2011-3389                    │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2   │ CVE-2024-26462      │ MEDIUM   │              │ 1.20.1-2+deb12u2        │                  │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-24528      │          │              │                         │                  │ krb5: overflow when calculating ulog block size              │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-24528                   │
│                    ├─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2018-5709       │ LOW      │              │                         │                  │ krb5: integer overflow in dbentry->n_key_data in             │
│                    │                     │          │              │                         │                  │ kadmin/dbutil/dump.c                                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2018-5709                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26458      │          │              │                         │                  │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26461      │          │              │                         │                  │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
├────────────────────┼─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libk5crypto3       │ CVE-2024-26462      │ MEDIUM   │              │                         │                  │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-24528      │          │              │                         │                  │ krb5: overflow when calculating ulog block size              │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-24528                   │
│                    ├─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2018-5709       │ LOW      │              │                         │                  │ krb5: integer overflow in dbentry->n_key_data in             │
│                    │                     │          │              │                         │                  │ kadmin/dbutil/dump.c                                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2018-5709                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26458      │          │              │                         │                  │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26461      │          │              │                         │                  │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
├────────────────────┼─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5-3          │ CVE-2024-26462      │ MEDIUM   │              │                         │                  │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-24528      │          │              │                         │                  │ krb5: overflow when calculating ulog block size              │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-24528                   │
│                    ├─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2018-5709       │ LOW      │              │                         │                  │ krb5: integer overflow in dbentry->n_key_data in             │
│                    │                     │          │              │                         │                  │ kadmin/dbutil/dump.c                                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2018-5709                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26458      │          │              │                         │                  │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26461      │          │              │                         │                  │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
├────────────────────┼─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libkrb5support0    │ CVE-2024-26462      │ MEDIUM   │              │                         │                  │ krb5: Memory leak at /krb5/src/kdc/ndr.c                     │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-26462                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-24528      │          │              │                         │                  │ krb5: overflow when calculating ulog block size              │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-24528                   │
│                    ├─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2018-5709       │ LOW      │              │                         │                  │ krb5: integer overflow in dbentry->n_key_data in             │
│                    │                     │          │              │                         │                  │ kadmin/dbutil/dump.c                                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2018-5709                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26458      │          │              │                         │                  │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c            │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-26458                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-26461      │          │              │                         │                  │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-26461                   │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libldap-2.5-0      │ CVE-2023-2953       │ HIGH     │              │ 2.5.13+dfsg-5           │                  │ openldap: null pointer dereference in ber_memalloc_x         │
│                    │                     │          │              │                         │                  │ function                                                     │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-2953                    │
│                    ├─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2015-3276       │ LOW      │              │                         │                  │ openldap: incorrect multi-keyword mode cipherstring parsing  │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2015-3276                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2017-14159      │          │              │                         │                  │ openldap: Privilege escalation via PID file manipulation     │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2017-14159                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2017-17740      │          │              │                         │                  │ openldap: contrib/slapd-modules/nops/nops.c attempts to free │
│                    │                     │          │              │                         │                  │ stack buffer allowing remote attackers to cause...           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2017-17740                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2020-15719      │          │              │                         │                  │ openldap: Certificate validation incorrectly matches name    │
│                    │                     │          │              │                         │                  │ against CN-ID                                                │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2020-15719                   │
├────────────────────┼─────────────────────┤          ├──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libllvm19          │ CVE-2024-7883       │          │ will_not_fix │ 1:19.1.4-1~deb12u1      │                  │ clang: CMSE secure state may leak from stack to              │
│                    │                     │          │              │                         │                  │ floating-point registers                                     │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-7883                    │
├────────────────────┼─────────────────────┤          ├──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libmount1          │ CVE-2022-0563       │          │ affected     │ 2.38.1-5+deb12u3        │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                         │                  │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libncursesw6       │ CVE-2023-50495      │ MEDIUM   │              │ 6.4-4                   │                  │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules     │ CVE-2024-10041      │          │              │ 1.5.2-6+deb12u1         │                  │ pam: libpam: Libpam vulnerable to read hashed password       │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-10041                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-22365      │          │              │                         │                  │ pam: allowing unprivileged user to block another user        │
│                    │                     │          │              │                         │                  │ namespace                                                    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-22365                   │
├────────────────────┼─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules-bin │ CVE-2024-10041      │          │              │                         │                  │ pam: libpam: Libpam vulnerable to read hashed password       │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-10041                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-22365      │          │              │                         │                  │ pam: allowing unprivileged user to block another user        │
│                    │                     │          │              │                         │                  │ namespace                                                    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-22365                   │
├────────────────────┼─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-runtime     │ CVE-2024-10041      │          │              │                         │                  │ pam: libpam: Libpam vulnerable to read hashed password       │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-10041                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-22365      │          │              │                         │                  │ pam: allowing unprivileged user to block another user        │
│                    │                     │          │              │                         │                  │ namespace                                                    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-22365                   │
├────────────────────┼─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ libpam0g           │ CVE-2024-10041      │          │              │                         │                  │ pam: libpam: Libpam vulnerable to read hashed password       │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-10041                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-22365      │          │              │                         │                  │ pam: allowing unprivileged user to block another user        │
│                    │                     │          │              │                         │                  │ namespace                                                    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-22365                   │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libperl5.36        │ CVE-2023-31484      │ HIGH     │              │ 5.36.0-7+deb12u1        │                  │ perl: CPAN.pm does not verify TLS certificates when          │
│                    │                     │          │              │                         │                  │ downloading distributions over HTTPS...                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31484                   │
│                    ├─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2011-4116       │ LOW      │              │                         │                  │ perl: File:: Temp insecure temporary file handling           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2011-4116                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31486      │          │              │                         │                  │ http-tiny: insecure TLS cert default                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31486                   │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libsmartcols1      │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u3        │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                         │                  │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libsqlite3-0       │ CVE-2021-45346      │          │              │ 3.40.1-2+deb12u1        │                  │ sqlite: crafted SQL query allows a malicious user to obtain  │
│                    │                     │          │              │                         │                  │ sensitive information...                                     │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2021-45346                   │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl3            │ CVE-2024-13176      │ MEDIUM   │              │ 3.0.15-1~deb12u1        │                  │ openssl: Timing side-channel in ECDSA signature computation  │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-13176                   │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++6         │ CVE-2022-27943      │ LOW      │              │ 12.2.0-14               │                  │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                    │                     │          │              │                         │                  │ stack exhaustion in demangle_const                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-4039       │          │              │                         │                  │ gcc: -fstack-protector fails to guard dynamic stack          │
│                    │                     │          │              │                         │                  │ allocations on ARM64                                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-4039                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0        │ CVE-2013-4392       │          │              │ 252.33-1~deb12u1        │                  │ systemd: TOCTOU race condition when updating file            │
│                    │                     │          │              │                         │                  │ permissions and SELinux security contexts...                 │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2013-4392                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31437      │          │              │                         │                  │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                         │                  │ modify a...                                                  │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31437                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31438      │          │              │                         │                  │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                         │                  │ truncate a...                                                │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31438                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31439      │          │              │                         │                  │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                         │                  │ modify the...                                                │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31439                   │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6          │ CVE-2023-50495      │ MEDIUM   │              │ 6.4-4                   │                  │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1           │ CVE-2013-4392       │ LOW      │              │ 252.33-1~deb12u1        │                  │ systemd: TOCTOU race condition when updating file            │
│                    │                     │          │              │                         │                  │ permissions and SELinux security contexts...                 │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2013-4392                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31437      │          │              │                         │                  │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                         │                  │ modify a...                                                  │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31437                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31438      │          │              │                         │                  │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                         │                  │ truncate a...                                                │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31438                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31439      │          │              │                         │                  │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                         │                  │ modify the...                                                │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31439                   │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libuuid1           │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u3        │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                         │                  │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libxml2            │ CVE-2024-25062      │ HIGH     │              │ 2.9.14+dfsg-1.3~deb12u1 │                  │ libxml2: use-after-free in XMLReader                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-25062                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-56171      │          │              │                         │                  │ libxml2: Use-After-Free in libxml2                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-56171                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-24928      │          │              │                         │                  │ libxml2: Stack-based buffer overflow in xmlSnprintfElements  │
│                    │                     │          │              │                         │                  │ of libxml2                                                   │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-24928                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-27113      │          │              │                         │                  │ libxml2: NULL Pointer Dereference in libxml2 xmlPatMatch     │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-27113                   │
│                    ├─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2022-49043      │ MEDIUM   │              │                         │                  │ libxml: use-after-free in xmlXIncludeAddNode                 │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-49043                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-39615      │          │              │                         │                  │ libxml2: crafted xml can cause global buffer overflow        │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-39615                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-45322      │          │              │                         │                  │ libxml2: use-after-free in xmlUnlinkNode() in tree.c         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-45322                   │
│                    ├─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-34459      │ LOW      │              │                         │                  │ libxml2: buffer over-read in xmlHTMLPrintFileContext in      │
│                    │                     │          │              │                         │                  │ xmllint.c                                                    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-34459                   │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libxslt1.1         │ CVE-2024-55549      │ HIGH     │ fixed        │ 1.1.35-1                │ 1.1.35-1+deb12u1 │ libxslt: Use-After-Free in libxslt (xsltGetInheritedNsList)  │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-55549                   │
│                    ├─────────────────────┤          │              │                         │                  ├──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-24855      │          │              │                         │                  │ libxslt: Use-After-Free in libxslt numbers.c                 │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-24855                   │
│                    ├─────────────────────┼──────────┼──────────────┤                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2015-9019       │ LOW      │ affected     │                         │                  │ libxslt: math.random() in xslt uses unseeded randomness      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2015-9019                    │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ locales            │ CVE-2025-0395       │ MEDIUM   │ fixed        │ 2.36-9+deb12u9          │ 2.36-9+deb12u10  │ glibc: buffer overflow in the GNU C Library's assert()       │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2025-0395                    │
│                    ├─────────────────────┼──────────┼──────────────┤                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2010-4756       │ LOW      │ affected     │                         │                  │ glibc: glob implementation can cause excessive CPU and       │
│                    │                     │          │              │                         │                  │ memory consumption due to...                                 │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2018-20796      │          │              │                         │                  │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                         │                  │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010022    │          │              │                         │                  │ glibc: stack guard protection bypass                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010023    │          │              │                         │                  │ glibc: running ldd on malicious ELF leads to code execution  │
│                    │                     │          │              │                         │                  │ because of...                                                │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010024    │          │              │                         │                  │ glibc: ASLR bypass using cache of thread stack and heap      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010025    │          │              │                         │                  │ glibc: information disclosure of heap addresses of           │
│                    │                     │          │              │                         │                  │ pthread_created thread                                       │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-9192       │          │              │                         │                  │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                         │                  │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2019-9192                    │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ login              │ CVE-2023-4641       │ MEDIUM   │              │ 1:4.13+dfsg1-1+b1       │                  │ shadow-utils: possible password leak during passwd(1) change │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-4641                    │
│                    ├─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2007-5686       │ LOW      │              │                         │                  │ initscripts in rPath Linux 1 sets insecure permissions for   │
│                    │                     │          │              │                         │                  │ the /var/lo ......                                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2007-5686                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-29383      │          │              │                         │                  │ shadow: Improper input validation in shadow-utils package    │
│                    │                     │          │              │                         │                  │ utility chfn                                                 │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-56433      │          │              │                         │                  │ shadow-utils: Default subordinate ID configuration in        │
│                    │                     │          │              │                         │                  │ /etc/login.defs could lead to compromise                     │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-56433                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ TEMP-0628843-DBAD28 │          │              │                         │                  │ [more related to CVE-2005-4890]                              │
│                    │                     │          │              │                         │                  │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │
│                    │                     │          │              │                         │                  │ AD28                                                         │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ mount              │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u3        │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                         │                  │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base       │ CVE-2023-50495      │ MEDIUM   │              │ 6.4-4                   │                  │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├────────────────────┤                     │          │              │                         ├──────────────────┤                                                              │
│ ncurses-bin        │                     │          │              │                         │                  │                                                              │
│                    │                     │          │              │                         │                  │                                                              │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl            │ CVE-2024-13176      │          │              │ 3.0.15-1~deb12u1        │                  │ openssl: Timing side-channel in ECDSA signature computation  │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-13176                   │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ passwd             │ CVE-2023-4641       │          │              │ 1:4.13+dfsg1-1+b1       │                  │ shadow-utils: possible password leak during passwd(1) change │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-4641                    │
│                    ├─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2007-5686       │ LOW      │              │                         │                  │ initscripts in rPath Linux 1 sets insecure permissions for   │
│                    │                     │          │              │                         │                  │ the /var/lo ......                                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2007-5686                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-29383      │          │              │                         │                  │ shadow: Improper input validation in shadow-utils package    │
│                    │                     │          │              │                         │                  │ utility chfn                                                 │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-29383                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-56433      │          │              │                         │                  │ shadow-utils: Default subordinate ID configuration in        │
│                    │                     │          │              │                         │                  │ /etc/login.defs could lead to compromise                     │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2024-56433                   │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ TEMP-0628843-DBAD28 │          │              │                         │                  │ [more related to CVE-2005-4890]                              │
│                    │                     │          │              │                         │                  │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │
│                    │                     │          │              │                         │                  │ AD28                                                         │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ perl               │ CVE-2023-31484      │ HIGH     │              │ 5.36.0-7+deb12u1        │                  │ perl: CPAN.pm does not verify TLS certificates when          │
│                    │                     │          │              │                         │                  │ downloading distributions over HTTPS...                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31484                   │
│                    ├─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2011-4116       │ LOW      │              │                         │                  │ perl: File:: Temp insecure temporary file handling           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2011-4116                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31486      │          │              │                         │                  │ http-tiny: insecure TLS cert default                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31486                   │
├────────────────────┼─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ perl-base          │ CVE-2023-31484      │ HIGH     │              │                         │                  │ perl: CPAN.pm does not verify TLS certificates when          │
│                    │                     │          │              │                         │                  │ downloading distributions over HTTPS...                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31484                   │
│                    ├─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2011-4116       │ LOW      │              │                         │                  │ perl: File:: Temp insecure temporary file handling           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2011-4116                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31486      │          │              │                         │                  │ http-tiny: insecure TLS cert default                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31486                   │
├────────────────────┼─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│ perl-modules-5.36  │ CVE-2023-31484      │ HIGH     │              │                         │                  │ perl: CPAN.pm does not verify TLS certificates when          │
│                    │                     │          │              │                         │                  │ downloading distributions over HTTPS...                      │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31484                   │
│                    ├─────────────────────┼──────────┤              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2011-4116       │ LOW      │              │                         │                  │ perl: File:: Temp insecure temporary file handling           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2011-4116                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31486      │          │              │                         │                  │ http-tiny: insecure TLS cert default                         │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-31486                   │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ sysvinit-utils     │ TEMP-0517018-A83CE6 │          │              │ 3.06-4                  │                  │ [sysvinit: no-root option in expert installer exposes        │
│                    │                     │          │              │                         │                  │ locally exploitable security flaw]                           │
│                    │                     │          │              │                         │                  │ https://security-tracker.debian.org/tracker/TEMP-0517018-A8- │
│                    │                     │          │              │                         │                  │ 3CE6                                                         │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ tar                │ CVE-2005-2541       │          │              │ 1.34+dfsg-1.2+deb12u1   │                  │ tar: does not properly warn the user when extracting setuid  │
│                    │                     │          │              │                         │                  │ or setgid...                                                 │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2005-2541                    │
│                    ├─────────────────────┤          │              │                         ├──────────────────┼──────────────────────────────────────────────────────────────┤
│                    │ TEMP-0290435-0B57B5 │          │              │                         │                  │ [tar's rmt command may have undesired side effects]          │
│                    │                     │          │              │                         │                  │ https://security-tracker.debian.org/tracker/TEMP-0290435-0B- │
│                    │                     │          │              │                         │                  │ 57B5                                                         │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ util-linux         │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u3        │                  │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                         │                  │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┤                     │          │              │                         ├──────────────────┤                                                              │
│ util-linux-extra   │                     │          │              │                         │                  │                                                              │
│                    │                     │          │              │                         │                  │                                                              │
│                    │                     │          │              │                         │                  │                                                              │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ zlib1g             │ CVE-2023-45853      │ CRITICAL │ will_not_fix │ 1:1.2.13.dfsg-1         │                  │ zlib: integer overflow and resultant heap-based buffer       │
│                    │                     │          │              │                         │                  │ overflow in zipOpenNewFileInZip4_6                           │
│                    │                     │          │              │                         │                  │ https://avd.aquasec.com/nvd/cve-2023-45853                   │
└────────────────────┴─────────────────────┴──────────┴──────────────┴─────────────────────────┴──────────────────┴──────────────────────────────────────────────────────────────┘

usr/local/bin/gosu (gobinary)

Total: 58 (UNKNOWN: 0, LOW: 1, MEDIUM: 23, HIGH: 31, CRITICAL: 3)

┌─────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability  │ Severity │ Status │ Installed Version │          Fixed Version           │                            Title                             │
├─────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib  │ CVE-2023-24538 │ CRITICAL │ fixed  │ v1.18.2           │ 1.19.8, 1.20.3                   │ golang: html/template: backticks not treated as string       │
│         │                │          │        │                   │                                  │ delimiters                                                   │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24538                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-24540 │          │        │                   │ 1.19.9, 1.20.4                   │ golang: html/template: improper handling of JavaScript       │
│         │                │          │        │                   │                                  │ whitespace                                                   │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24540                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2024-24790 │          │        │                   │ 1.21.11, 1.22.4                  │ golang: net/netip: Unexpected behavior from Is methods for   │
│         │                │          │        │                   │                                  │ IPv4-mapped IPv6 addresses                                   │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-24790                   │
│         ├────────────────┼──────────┤        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-27664 │ HIGH     │        │                   │ 1.18.6, 1.19.1                   │ golang: net/http: handle server errors after sending GOAWAY  │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-27664                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-28131 │          │        │                   │ 1.17.12, 1.18.4                  │ golang: encoding/xml: stack exhaustion in Decoder.Skip       │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-28131                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-2879  │          │        │                   │ 1.18.7, 1.19.2                   │ golang: archive/tar: github.com/vbatts/tar-split: unbounded  │
│         │                │          │        │                   │                                  │ memory consumption when reading headers                      │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-2879                    │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-2880  │          │        │                   │                                  │ golang: net/http/httputil: ReverseProxy should not forward   │
│         │                │          │        │                   │                                  │ unparseable query parameters                                 │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-2880                    │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-29804 │          │        │                   │ 1.17.11, 1.18.3                  │ ELSA-2022-17957: ol8addon security update (IMPORTANT)        │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-29804                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-30580 │          │        │                   │                                  │ golang: os/exec: Code injection in Cmd.Start                 │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-30580                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-30630 │          │        │                   │ 1.17.12, 1.18.4                  │ golang: io/fs: stack exhaustion in Glob                      │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-30630                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-30631 │          │        │                   │                                  │ golang: compress/gzip: stack exhaustion in Reader.Read       │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-30631                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-30632 │          │        │                   │                                  │ golang: path/filepath: stack exhaustion in Glob              │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-30632                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-30633 │          │        │                   │                                  │ golang: encoding/xml: stack exhaustion in Unmarshal          │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-30633                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-30634 │          │        │                   │ 1.17.11, 1.18.3                  │ ELSA-2022-17957: ol8addon security update (IMPORTANT)        │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-30634                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-30635 │          │        │                   │ 1.17.12, 1.18.4                  │ golang: encoding/gob: stack exhaustion in Decoder.Decode     │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-30635                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-32189 │          │        │                   │ 1.17.13, 1.18.5                  │ golang: math/big: decoding big.Float and big.Rat types can   │
│         │                │          │        │                   │                                  │ panic if the encoded...                                      │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-32189                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-41715 │          │        │                   │ 1.18.7, 1.19.2                   │ golang: regexp/syntax: limit memory used by parsing regexps  │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41715                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-41716 │          │        │                   │ 1.18.8, 1.19.3                   │ Due to unsanitized NUL values, attackers may be able to      │
│         │                │          │        │                   │                                  │ maliciously se...                                            │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41716                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-41720 │          │        │                   │ 1.18.9, 1.19.4                   │ golang: os, net/http: avoid escapes from os.DirFS and        │
│         │                │          │        │                   │                                  │ http.Dir on Windows                                          │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41720                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-41722 │          │        │                   │ 1.19.6, 1.20.1                   │ golang: path/filepath: path-filepath filepath.Clean path     │
│         │                │          │        │                   │                                  │ traversal                                                    │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41722                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-41723 │          │        │                   │                                  │ golang.org/x/net/http2: avoid quadratic complexity in HPACK  │
│         │                │          │        │                   │                                  │ decoding                                                     │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41723                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-41724 │          │        │                   │                                  │ golang: crypto/tls: large handshake records may cause panics │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41724                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-41725 │          │        │                   │                                  │ golang: net/http, mime/multipart: denial of service from     │
│         │                │          │        │                   │                                  │ excessive resource consumption                               │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41725                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-24534 │          │        │                   │ 1.19.8, 1.20.3                   │ golang: net/http, net/textproto: denial of service from      │
│         │                │          │        │                   │                                  │ excessive memory allocation                                  │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24534                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-24536 │          │        │                   │                                  │ golang: net/http, net/textproto, mime/multipart: denial of   │
│         │                │          │        │                   │                                  │ service from excessive resource consumption                  │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24536                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-24537 │          │        │                   │                                  │ golang: go/parser: Infinite loop in parsing                  │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24537                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-24539 │          │        │                   │ 1.19.9, 1.20.4                   │ golang: html/template: improper sanitization of CSS values   │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24539                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-29400 │          │        │                   │                                  │ golang: html/template: improper handling of empty HTML       │
│         │                │          │        │                   │                                  │ attributes                                                   │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-29400                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-29403 │          │        │                   │ 1.19.10, 1.20.5                  │ golang: runtime: unexpected behavior of setuid/setgid        │
│         │                │          │        │                   │                                  │ binaries                                                     │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-29403                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-39325 │          │        │                   │ 1.20.10, 1.21.3                  │ golang: net/http, x/net/http2: rapid stream resets can cause │
│         │                │          │        │                   │                                  │ excessive work (CVE-2023-44487)                              │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-39325                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-45283 │          │        │                   │ 1.20.11, 1.21.4, 1.20.12, 1.21.5 │ The filepath package does not recognize paths with a \??\    │
│         │                │          │        │                   │                                  │ prefix as...                                                 │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45283                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-45287 │          │        │                   │ 1.20.0                           │ golang: crypto/tls: Timing Side Channel attack in RSA based  │
│         │                │          │        │                   │                                  │ TLS key exchanges....                                        │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45287                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-45288 │          │        │                   │ 1.21.9, 1.22.2                   │ golang: net/http, x/net/http2: unlimited number of           │
│         │                │          │        │                   │                                  │ CONTINUATION frames causes DoS                               │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45288                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2024-34156 │          │        │                   │ 1.22.7, 1.23.1                   │ encoding/gob: golang: Calling Decoder.Decode on a message    │
│         │                │          │        │                   │                                  │ which contains deeply nested structures...                   │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-34156                   │
│         ├────────────────┼──────────┤        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-1705  │ MEDIUM   │        │                   │ 1.17.12, 1.18.4                  │ golang: net/http: improper sanitization of Transfer-Encoding │
│         │                │          │        │                   │                                  │ header                                                       │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-1705                    │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-1962  │          │        │                   │                                  │ golang: go/parser: stack exhaustion in all Parse* functions  │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-1962                    │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-32148 │          │        │                   │                                  │ golang: net/http/httputil: NewSingleHostReverseProxy - omit  │
│         │                │          │        │                   │                                  │ X-Forwarded-For not working                                  │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-32148                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-41717 │          │        │                   │ 1.18.9, 1.19.4                   │ golang: net/http: excessive memory growth in a Go server     │
│         │                │          │        │                   │                                  │ accepting HTTP/2 requests...                                 │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-41717                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-24532 │          │        │                   │ 1.19.7, 1.20.2                   │ golang: crypto/internal/nistec: specific unreduced P-256     │
│         │                │          │        │                   │                                  │ scalars produce incorrect results                            │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-24532                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-29406 │          │        │                   │ 1.19.11, 1.20.6                  │ golang: net/http: insufficient sanitization of Host header   │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-29406                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-29409 │          │        │                   │ 1.19.12, 1.20.7, 1.21.0-rc.4     │ golang: crypto/tls: slow verification of certificate chains  │
│         │                │          │        │                   │                                  │ containing large RSA keys                                    │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-29409                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-39318 │          │        │                   │ 1.20.8, 1.21.1                   │ golang: html/template: improper handling of HTML-like        │
│         │                │          │        │                   │                                  │ comments within script contexts                              │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-39318                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-39319 │          │        │                   │                                  │ golang: html/template: improper handling of special tags     │
│         │                │          │        │                   │                                  │ within script contexts                                       │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-39319                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-39326 │          │        │                   │ 1.20.12, 1.21.5                  │ golang: net/http/internal: Denial of Service (DoS) via       │
│         │                │          │        │                   │                                  │ Resource Consumption via HTTP requests...                    │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-39326                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-45284 │          │        │                   │ 1.20.11, 1.21.4                  │ On Windows, The IsLocal function does not correctly detect   │
│         │                │          │        │                   │                                  │ reserved de ......                                           │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45284                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-45289 │          │        │                   │ 1.21.8, 1.22.1                   │ golang: net/http/cookiejar: incorrect forwarding of          │
│         │                │          │        │                   │                                  │ sensitive headers and cookies on HTTP redirect...            │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45289                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2023-45290 │          │        │                   │                                  │ golang: net/http: golang: mime/multipart: golang:            │
│         │                │          │        │                   │                                  │ net/textproto: memory exhaustion in                          │
│         │                │          │        │                   │                                  │ Request.ParseMultipartForm                                   │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2023-45290                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2024-24783 │          │        │                   │                                  │ golang: crypto/x509: Verify panics on certificates with an   │
│         │                │          │        │                   │                                  │ unknown public key algorithm...                              │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-24783                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2024-24784 │          │        │                   │                                  │ golang: net/mail: comments in display names are incorrectly  │
│         │                │          │        │                   │                                  │ handled                                                      │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-24784                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2024-24785 │          │        │                   │                                  │ golang: html/template: errors returned from MarshalJSON      │
│         │                │          │        │                   │                                  │ methods may break template escaping                          │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-24785                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2024-24789 │          │        │                   │ 1.21.11, 1.22.4                  │ golang: archive/zip: Incorrect handling of certain ZIP files │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-24789                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2024-24791 │          │        │                   │ 1.21.12, 1.22.5                  │ net/http: Denial of service due to improper 100-continue     │
│         │                │          │        │                   │                                  │ handling in net/http                                         │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-24791                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2024-34155 │          │        │                   │ 1.22.7, 1.23.1                   │ go/parser: golang: Calling any of the Parse functions        │
│         │                │          │        │                   │                                  │ containing deeply nested literals...                         │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-34155                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2024-34158 │          │        │                   │                                  │ go/build/constraint: golang: Calling Parse on a "// +build"  │
│         │                │          │        │                   │                                  │ build tag line with...                                       │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-34158                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2024-45336 │          │        │                   │ 1.22.11, 1.23.5, 1.24.0-rc.2     │ golang: net/http: net/http: sensitive headers incorrectly    │
│         │                │          │        │                   │                                  │ sent after cross-domain redirect                             │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-45336                   │
│         ├────────────────┤          │        │                   │                                  ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2024-45341 │          │        │                   │                                  │ golang: crypto/x509: crypto/x509: usage of IPv6 zone IDs can │
│         │                │          │        │                   │                                  │ bypass URI name...                                           │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2024-45341                   │
│         ├────────────────┤          │        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2025-22866 │          │        │                   │ 1.22.12, 1.23.6, 1.24.0-rc.3     │ crypto/internal/nistec: golang: Timing sidechannel for P-256 │
│         │                │          │        │                   │                                  │ on ppc64le in crypto/internal/nistec                         │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2025-22866                   │
│         ├────────────────┼──────────┤        │                   ├──────────────────────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2022-30629 │ LOW      │        │                   │ 1.17.11, 1.18.3                  │ golang: crypto/tls: session tickets lack random              │
│         │                │          │        │                   │                                  │ ticket_age_add                                               │
│         │                │          │        │                   │                                  │ https://avd.aquasec.com/nvd/cve-2022-30629                   │
└─────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────┴──────────────────────────────────────────────────────────────┘

The current postgres discussion (one of) tracking this issue: docker-library/postgres#1304

@ankane
Copy link
Member

ankane commented Mar 24, 2025
edited
Loading

It sounds like a false positive:

@perry-mitchell
Copy link
Author

For anyone hitting the same issue, I got around this by simply dropping gosu, which isn't needed in normal operation:

FROM pgvector/pgvector:0.8.0-pg17

RUN rm -rf /usr/local/bin/gosu
USER postgres

Imo there'd be better ways to do the same thing besides using a custom tool like gosu but that's a postgres decision not bound to this repository.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Milestone
No milestone
Development

No branches or pull requests
4 participants
@jkatz @ankane @ovatto @perry-mitchell