vault-csi-provider icon indicating copy to clipboard operation
vault-csi-provider copied to clipboard

Published 20 hours ago verified publisher icon hashicorp

trivy critical vulnerabilities

Open mattpopa opened this issue 8 months ago • 1 comments

Hi,

current 1.5.0 has critical security vulnerabilities which have a fix

bin/vault-csi-provider (gobinary)

Total: 10 (UNKNOWN: 0, LOW: 0, MEDIUM: 7, HIGH: 2, CRITICAL: 1)

┌───────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────┬──────────────────────────────────────────────────────────────┐
│            Library            │ Vulnerability  │ Severity │ Status │ Installed Version │        Fixed Version         │                            Title                             │
├───────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/go-jose/go-jose/v4 │ CVE-2025-27144 │ MEDIUM   │ fixed  │ v4.0.1            │ 4.0.5                        │ go-jose: Go JOSE's Parsing Vulnerable to Denial of Service   │
│                               │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2025-27144                   │
├───────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto           │ CVE-2024-45337 │ CRITICAL │        │ v0.26.0           │ 0.31.0                       │ golang.org/x/crypto/ssh: Misuse of                           │
│                               │                │          │        │                   │                              │ ServerConfig.PublicKeyCallback may cause authorization       │
│                               │                │          │        │                   │                              │ bypass in golang.org/x/crypto                                │
│                               │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45337                   │
├───────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net              │ CVE-2024-45338 │ HIGH     │        │ v0.28.0           │ 0.33.0                       │ golang.org/x/net/html: Non-linear parsing of                 │
│                               │                │          │        │                   │                              │ case-insensitive content in golang.org/x/net/html            │
│                               │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45338                   │
│                               ├────────────────┼──────────┤        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                               │ CVE-2025-22870 │ MEDIUM   │        │                   │ 0.36.0                       │ golang.org/x/net/http/httpproxy: golang.org/x/net/proxy:     │
│                               │                │          │        │                   │                              │ HTTP Proxy bypass using IPv6 Zone IDs in golang.org/x/net    │
│                               │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2025-22870                   │
├───────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib                        │ CVE-2024-34156 │ HIGH     │        │ v1.22.6           │ 1.22.7, 1.23.1               │ encoding/gob: golang: Calling Decoder.Decode on a message    │
│                               │                │          │        │                   │                              │ which contains deeply nested structures...                   │
│                               │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-34156                   │
│                               ├────────────────┼──────────┤        │                   │                              ├──────────────────────────────────────────────────────────────┤
│                               │ CVE-2024-34155 │ MEDIUM   │        │                   │                              │ go/parser: golang: Calling any of the Parse functions        │
│                               │                │          │        │                   │                              │ containing deeply nested literals...                         │
│                               │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-34155                   │
│                               ├────────────────┤          │        │                   │                              ├──────────────────────────────────────────────────────────────┤
│                               │ CVE-2024-34158 │          │        │                   │                              │ go/build/constraint: golang: Calling Parse on a "// +build"  │
│                               │                │          │        │                   │                              │ build tag line with...                                       │
│                               │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-34158                   │
│                               ├────────────────┤          │        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                               │ CVE-2024-45336 │          │        │                   │ 1.22.11, 1.23.5, 1.24.0-rc.2 │ golang: net/http: net/http: sensitive headers incorrectly    │
│                               │                │          │        │                   │                              │ sent after cross-domain redirect                             │
│                               │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45336                   │
│                               ├────────────────┤          │        │                   │                              ├──────────────────────────────────────────────────────────────┤
│                               │ CVE-2024-45341 │          │        │                   │                              │ golang: crypto/x509: crypto/x509: usage of IPv6 zone IDs can │
│                               │                │          │        │                   │                              │ bypass URI name...                                           │
│                               │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2024-45341                   │
│                               ├────────────────┤          │        │                   ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤
│                               │ CVE-2025-22866 │          │        │                   │ 1.22.12, 1.23.6, 1.24.0-rc.3 │ crypto/internal/nistec: golang: Timing sidechannel for P-256 │
│                               │                │          │        │                   │                              │ on ppc64le in crypto/internal/nistec                         │
│                               │                │          │        │                   │                              │ https://avd.aquasec.com/nvd/cve-2025-22866                   │
└───────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────┴──────────────────────────────────────────────────────────────┘

Could we get these versions bumped up in the next release please?

mattpopa avatar Mar 15 '25 22:03 mattpopa

+1. We need the fix, as this is flagged in our internal scan also.

porwalameet avatar Mar 26 '25 10:03 porwalameet