nginx-proxy-manager
nginx-proxy-manager copied to clipboard
Published
1 month ago
•
NginxProxyManager
NginxProxyManager
Vulnerabilities
Checklist
- Have you pulled and found the error with
jc21/nginx-proxy-manager:latestdocker image?- No
- Are you sure you're not using someone else's docker image?
- Yes
- Have you searched for similar issues (both open and closed)?
- Yes
Describe the bug
Docker vulnerabilities report shows chritical security problems. Any suggestion about that ?
Nginx Proxy Manager Version
To Reproduce Steps to reproduce the behavior:
- Go to 'Docker containers'
- Click on 'jc21/nginx-proxy-manager:latest'
- At the right side, click Vulnerabilities tab
- See security alerts
Expected behavior
- Image container and dependencies should be stable and secure
Screenshots
Operating System
macos Monterey 12.6.5
@okproject slightly OT, what's that tool you're using to scan the vulnerabilities?
@okproject slightly OT, what's that tool you're using to scan the vulnerabilities?
https://docs.docker.com/scout/
slightly OT, what's that tool you're using to scan the vulnerabilities?
- I use built-in docker feature.
- You can reproduce steps as I described my first message like below
To Reproduce
Steps to reproduce the behavior:
With docker desktop:
Go to 'Docker containers'
Click on 'jc21/nginx-proxy-manager:latest'
At the right side, click Vulnerabilities tab
See security alerts
Hey there,
Today I stumbled over the security issues of this image. I did a quick trivy scan:
trivy image -o trivy-result_jc21-nginx-proxy-manager-2.10.4.txt --ignore-unfixed --scanners vuln jc21/nginx-proxy-manager:2.10.4
trivy-result_jc21-nginx-proxy-manager-2.10.4.txt
jc21/nginx-proxy-manager:2.10.4 (debian 10.13)
==============================================
Total: 56 (UNKNOWN: 0, LOW: 0, MEDIUM: 38, HIGH: 12, CRITICAL: 6)
┌──────────────────────┬────────────────┬──────────┬────────┬────────────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────────┼────────────────┼──────────┼────────┼────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ curl │ CVE-2023-28321 │ MEDIUM │ fixed │ 7.64.0-4+deb10u6 │ 7.64.0-4+deb10u7 │ IDN wildcard match may lead to Improper Cerificate │
│ │ │ │ │ │ │ Validation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28321 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-38546 │ │ │ │ │ cookie injection with none file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-38546 │
├──────────────────────┼────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ libcurl3-gnutls │ CVE-2023-28321 │ │ │ │ │ IDN wildcard match may lead to Improper Cerificate │
│ │ │ │ │ │ │ Validation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28321 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-38546 │ │ │ │ │ cookie injection with none file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-38546 │
├──────────────────────┼────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ libcurl4 │ CVE-2023-28321 │ │ │ │ │ IDN wildcard match may lead to Improper Cerificate │
│ │ │ │ │ │ │ Validation │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28321 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-38546 │ │ │ │ │ cookie injection with none file │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-38546 │
├──────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libgssapi-krb5-2 │ CVE-2023-36054 │ │ │ 1.17-3+deb10u5 │ 1.17-3+deb10u6 │ Denial of service through freeing uninitialized pointer │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-36054 │
├──────────────────────┤ │ │ │ │ │ │
│ libk5crypto3 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────────┤ │ │ │ │ │ │
│ libkrb5-3 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────────┤ │ │ │ │ │ │
│ libkrb5support0 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libncurses6 │ CVE-2020-19189 │ │ │ 6.1+20181013-2+deb10u3 │ 6.1+20181013-2+deb10u4 │ 997 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-19189 │
├──────────────────────┤ │ │ │ │ │ │
│ libncursesw6 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────────┼────────────────┼──────────┤ ├────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libnghttp2-14 │ CVE-2020-11080 │ HIGH │ │ 1.36.0-2+deb10u1 │ 1.36.0-2+deb10u2 │ overly large SETTINGS frames can lead to DoS │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11080 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-44487 │ │ │ │ │ Multiple HTTP/2 enabled web servers are vulnerable to a DDoS │
│ │ │ │ │ │ │ attack (Rapid... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-44487 │
├──────────────────────┼────────────────┼──────────┤ ├────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libpython3.7-minimal │ CVE-2022-48565 │ CRITICAL │ │ 3.7.3-2+deb10u5 │ 3.7.3-2+deb10u6 │ XML External Entity in XML processing plistlib module │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48565 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48560 │ HIGH │ │ │ │ A use-after-free exists in Python through 3.9 via │
│ │ │ │ │ │ │ heappushpop in heapq ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48560 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48564 │ MEDIUM │ │ │ │ read_ints in plistlib.py in Python through 3.9.1 is │
│ │ │ │ │ │ │ vulnerable to a po... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48564 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48566 │ │ │ │ │ constant-time-defeating optimisations issue in the │
│ │ │ │ │ │ │ compare_digest function in Lib/hmac.p │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48566 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-40217 │ │ │ │ │ TLS handshake bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-40217 │
├──────────────────────┼────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ libpython3.7-stdlib │ CVE-2022-48565 │ CRITICAL │ │ │ │ XML External Entity in XML processing plistlib module │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48565 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48560 │ HIGH │ │ │ │ A use-after-free exists in Python through 3.9 via │
│ │ │ │ │ │ │ heappushpop in heapq ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48560 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48564 │ MEDIUM │ │ │ │ read_ints in plistlib.py in Python through 3.9.1 is │
│ │ │ │ │ │ │ vulnerable to a po... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48564 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48566 │ │ │ │ │ constant-time-defeating optimisations issue in the │
│ │ │ │ │ │ │ compare_digest function in Lib/hmac.p │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48566 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-40217 │ │ │ │ │ TLS handshake bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-40217 │
├──────────────────────┼────────────────┼──────────┤ ├────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libssh2-1 │ CVE-2019-13115 │ HIGH │ │ 1.8.0-2.1 │ 1.8.0-2.1+deb10u1 │ integer overflow in │
│ │ │ │ │ │ │ kex_method_diffie_hellman_group_exchange_sha256_key_exchange │
│ │ │ │ │ │ │ in kex.c leads to out-of-bounds write │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-13115 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2019-17498 │ │ │ │ │ integer overflow in SSH_MSG_DISCONNECT logic in packet.c │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17498 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2020-22218 │ │ │ │ │ use-of-uninitialized-value in _libssh2_transport_read │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-22218 │
├──────────────────────┼────────────────┼──────────┤ ├────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libssl1.1 │ CVE-2023-3446 │ MEDIUM │ │ 1.1.1n-0+deb10u5 │ 1.1.1n-0+deb10u6 │ Excessive time spent checking DH keys and parameters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3446 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-3817 │ │ │ │ │ Excessive time spent checking DH q parameter value │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3817 │
├──────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6 │ CVE-2020-19189 │ │ │ 6.1+20181013-2+deb10u3 │ 6.1+20181013-2+deb10u4 │ 997 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-19189 │
├──────────────────────┼────────────────┼──────────┤ ├────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ libx11-6 │ CVE-2023-43787 │ HIGH │ │ 2:1.6.7-1+deb10u3 │ 2:1.6.7-1+deb10u4 │ integer overflow in XCreateImage() leading to a heap │
│ │ │ │ │ │ │ overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-43787 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-43785 │ MEDIUM │ │ │ │ out-of-bounds memory access in _XkbReadKeySyms() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-43785 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-43786 │ │ │ │ │ stack exhaustion from infinite recursion in PutSubImage() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-43786 │
├──────────────────────┼────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ libx11-data │ CVE-2023-43787 │ HIGH │ │ │ │ integer overflow in XCreateImage() leading to a heap │
│ │ │ │ │ │ │ overflow │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-43787 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-43785 │ MEDIUM │ │ │ │ out-of-bounds memory access in _XkbReadKeySyms() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-43785 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-43786 │ │ │ │ │ stack exhaustion from infinite recursion in PutSubImage() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-43786 │
├──────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base │ CVE-2020-19189 │ │ │ 6.1+20181013-2+deb10u3 │ 6.1+20181013-2+deb10u4 │ 997 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-19189 │
├──────────────────────┤ │ │ │ │ │ │
│ ncurses-bin │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────────────┼────────────────┼──────────┤ ├────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ openssh-client │ CVE-2023-38408 │ CRITICAL │ │ 1:7.9p1-10+deb10u2 │ 1:7.9p1-10+deb10u3 │ Remote code execution in ssh-agent PKCS#11 support │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-38408 │
├──────────────────────┼────────────────┼──────────┤ ├────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl │ CVE-2023-3446 │ MEDIUM │ │ 1.1.1n-0+deb10u5 │ 1.1.1n-0+deb10u6 │ Excessive time spent checking DH keys and parameters │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3446 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-3817 │ │ │ │ │ Excessive time spent checking DH q parameter value │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3817 │
├──────────────────────┼────────────────┼──────────┤ ├────────────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ python3.7 │ CVE-2022-48565 │ CRITICAL │ │ 3.7.3-2+deb10u5 │ 3.7.3-2+deb10u6 │ XML External Entity in XML processing plistlib module │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48565 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48560 │ HIGH │ │ │ │ A use-after-free exists in Python through 3.9 via │
│ │ │ │ │ │ │ heappushpop in heapq ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48560 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48564 │ MEDIUM │ │ │ │ read_ints in plistlib.py in Python through 3.9.1 is │
│ │ │ │ │ │ │ vulnerable to a po... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48564 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48566 │ │ │ │ │ constant-time-defeating optimisations issue in the │
│ │ │ │ │ │ │ compare_digest function in Lib/hmac.p │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48566 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-40217 │ │ │ │ │ TLS handshake bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-40217 │
├──────────────────────┼────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ python3.7-minimal │ CVE-2022-48565 │ CRITICAL │ │ │ │ XML External Entity in XML processing plistlib module │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48565 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48560 │ HIGH │ │ │ │ A use-after-free exists in Python through 3.9 via │
│ │ │ │ │ │ │ heappushpop in heapq ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48560 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48564 │ MEDIUM │ │ │ │ read_ints in plistlib.py in Python through 3.9.1 is │
│ │ │ │ │ │ │ vulnerable to a po... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48564 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48566 │ │ │ │ │ constant-time-defeating optimisations issue in the │
│ │ │ │ │ │ │ compare_digest function in Lib/hmac.p │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48566 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-40217 │ │ │ │ │ TLS handshake bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-40217 │
├──────────────────────┼────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ python3.7-venv │ CVE-2022-48565 │ CRITICAL │ │ │ │ XML External Entity in XML processing plistlib module │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48565 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48560 │ HIGH │ │ │ │ A use-after-free exists in Python through 3.9 via │
│ │ │ │ │ │ │ heappushpop in heapq ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48560 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48564 │ MEDIUM │ │ │ │ read_ints in plistlib.py in Python through 3.9.1 is │
│ │ │ │ │ │ │ vulnerable to a po... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48564 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-48566 │ │ │ │ │ constant-time-defeating optimisations issue in the │
│ │ │ │ │ │ │ compare_digest function in Lib/hmac.p │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-48566 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-40217 │ │ │ │ │ TLS handshake bypass │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-40217 │
└──────────────────────┴────────────────┴──────────┴────────┴────────────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘
Node.js (node-pkg)
==================
Total: 6 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 5, CRITICAL: 0)
┌───────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────────────────┬────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├───────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────────────────┼────────────────────────────────────────────────────────────┤
│ ansi-regex (package.json) │ CVE-2021-3807 │ HIGH │ fixed │ 3.0.0 │ 6.0.1, 5.0.1, 4.1.1, 3.0.1 │ Regular expression denial of service (ReDoS) matching ANSI │
│ │ │ │ │ │ │ escape codes │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3807 │
│ │ │ │ ├───────────────────┤ │ │
│ │ │ │ │ 5.0.0 │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├───────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼────────────────────────────────────────────────────────────┤
│ debug (package.json) │ CVE-2017-16137 │ MEDIUM │ │ 3.2.6 │ 2.6.9, 3.1.0, 3.2.7, 4.3.1 │ nodejs-debug: Regular expression Denial of Service │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-16137 │
├───────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼────────────────────────────────────────────────────────────┤
│ minimatch (package.json) │ CVE-2022-3517 │ HIGH │ │ 3.0.4 │ 3.0.5 │ ReDoS via the braceExpand function │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3517 │
└───────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────────────────┴────────────────────────────────────────────────────────────┘
Python (python-pkg)
===================
Total: 9 (UNKNOWN: 0, LOW: 3, MEDIUM: 4, HIGH: 2, CRITICAL: 0)
┌─────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬────────────────┬────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├─────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ cryptography (METADATA) │ CVE-2023-0286 │ HIGH │ fixed │ 2.8 │ 39.0.1 │ X.400 address type confusion in X.509 GeneralName │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0286 │
│ ├─────────────────────┼──────────┤ │ ├────────────────┼────────────────────────────────────────────────────────────┤
│ │ CVE-2020-25659 │ MEDIUM │ │ │ 3.2 │ Bleichenbacher timing oracle attack against RSA decryption │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-25659 │
│ ├─────────────────────┤ │ │ ├────────────────┼────────────────────────────────────────────────────────────┤
│ │ CVE-2023-23931 │ │ │ │ 39.0.1 │ memory corruption via immutable objects │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-23931 │
│ ├─────────────────────┼──────────┤ │ ├────────────────┼────────────────────────────────────────────────────────────┤
│ │ GHSA-5cpq-8wj7-hf2v │ LOW │ │ │ 41.0.0 │ Vulnerable OpenSSL included in cryptography wheels │
│ │ │ │ │ │ │ https://github.com/advisories/GHSA-5cpq-8wj7-hf2v │
│ ├─────────────────────┤ │ │ ├────────────────┼────────────────────────────────────────────────────────────┤
│ │ GHSA-jm77-qphf-c4w8 │ │ │ │ 41.0.3 │ pyca/cryptography's wheels include vulnerable OpenSSL │
│ │ │ │ │ │ │ https://github.com/advisories/GHSA-jm77-qphf-c4w8 │
│ ├─────────────────────┤ │ │ ├────────────────┼────────────────────────────────────────────────────────────┤
│ │ GHSA-v8gr-m533-ghj9 │ │ │ │ 41.0.4 │ Vulnerable OpenSSL included in cryptography wheels │
│ │ │ │ │ │ │ https://github.com/advisories/GHSA-v8gr-m533-ghj9 │
├─────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ setuptools (METADATA) │ CVE-2022-40897 │ HIGH │ │ 58.0.0 │ 65.5.1 │ Regular Expression Denial of Service (ReDoS) in │
│ │ │ │ │ │ │ package_index.py │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-40897 │
├─────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────┼────────────────────────────────────────────────────────────┤
│ urllib3 (METADATA) │ CVE-2023-43804 │ MEDIUM │ │ 2.0.4 │ 2.0.6, 1.26.17 │ Cookie request header isn't stripped during cross-origin │
│ │ │ │ │ │ │ redirects │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-43804 │
│ ├─────────────────────┤ │ │ ├────────────────┼────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45803 │ │ │ │ 2.0.7, 1.26.18 │ urllib3 is a user-friendly HTTP client library for Python. │
│ │ │ │ │ │ │ urllib3 pre ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45803 │
└─────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴────────────────┴────────────────────────────────────────────────────────────┘
Are there any plans or ideas of patching and updating it regularly?
/cc @jc21
Issue is now considered stale. If you want to keep it open, please comment :+1:
![github-actions[bot] avatar](https://avatars.githubusercontent.com/in/15368?v=4 "Published by a pub.dev verified publisher"){kind=small}
Issue is now considered stale. If you want to keep it open, please comment :+1: