Vulnerabilities found by docker image scan #2136
Description
Hello,
I wanted to use cloudsploit as SCPM scanner for couple of projects but decided to scan the docker image first. Here is the list of vulnerabilities found in it:
cloudsploit:latest (alpine 3.12.9)
Total: 6 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 5, CRITICAL: 1)
┌──────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬─────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
│ busybox │ CVE-2022-28391 │ HIGH │ fixed │ 1.31.1-r21 │ 1.31.1-r22 │ busybox: remote attackers may execute arbitrary code if │
│ │ │ │ │ │ │ netstat is used │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-28391 │
├──────────────┼────────────────┤ │ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
│ libcrypto1.1 │ CVE-2022-0778 │ │ │ 1.1.1l-r0 │ 1.1.1n-r0 │ openssl: Infinite loop in BN_mod_sqrt() reachable when │
│ │ │ │ │ │ │ parsing certificates │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0778 │
├──────────────┤ │ │ │ │ │ │
│ libssl1.1 │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├──────────────┼────────────────┤ │ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
│ ssl_client │ CVE-2022-28391 │ │ │ 1.31.1-r21 │ 1.31.1-r22 │ busybox: remote attackers may execute arbitrary code if │
│ │ │ │ │ │ │ netstat is used │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-28391 │
├──────────────┼────────────────┼──────────┤ ├───────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
│ zlib │ CVE-2022-37434 │ CRITICAL │ │ 1.2.11-r3 │ 1.2.12-r2 │ zlib: heap-based buffer over-read and overflow in inflate() │
│ │ │ │ │ │ │ in inflate.c via a... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-37434 │
│ ├────────────────┼──────────┤ │ ├───────────────┼─────────────────────────────────────────────────────────────┤
│ │ CVE-2018-25032 │ HIGH │ │ │ 1.2.12-r0 │ zlib: A flaw found in zlib when compressing (not │
│ │ │ │ │ │ │ decompressing) certain inputs... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-25032 │
└──────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴─────────────────────────────────────────────────────────────┘Node.js (node-pkg)
Total: 22 (UNKNOWN: 0, LOW: 2, MEDIUM: 7, HIGH: 12, CRITICAL: 1)
┌─────────────────────────────────────┬────────────────┬──────────┬──────────┬───────────────────┬────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├─────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ansi-regex (package.json) │ CVE-2021-3807 │ HIGH │ fixed │ 3.0.0 │ 6.0.1, 5.0.1, 4.1.1, 3.0.1 │ nodejs-ansi-regex: Regular expression denial of service │
│ │ │ │ │ │ │ (ReDoS) matching ANSI escape codes │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3807 │
│ │ │ │ ├───────────────────┤ │ │
│ │ │ │ │ 5.0.0 │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├─────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ axios (package.json) │ CVE-2025-27152 │ │ │ 0.21.4 │ 1.8.2, 0.30.0 │ axios: Possible SSRF and Credential Leakage via Absolute URL │
│ │ │ │ │ │ │ in axios Requests... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-27152 │
│ ├────────────────┼──────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-45857 │ MEDIUM │ │ │ 1.6.0, 0.28.0 │ axios: exposure of confidential data stored in cookies │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45857 │
├─────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ braces (package.json) │ CVE-2024-4068 │ HIGH │ │ 2.3.2 │ 3.0.3 │ braces: fails to limit the number of characters it can │
│ │ │ │ │ │ │ handle │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4068 │
├─────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ cross-spawn (package.json) │ CVE-2024-21538 │ │ │ 4.0.2 │ 7.0.5, 6.0.6 │ cross-spawn: regular expression denial of service │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-21538 │
│ │ │ │ ├───────────────────┤ │ │
│ │ │ │ │ 5.1.0 │ │ │
│ │ │ │ │ │ │ │
├─────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ debug (package.json) │ CVE-2017-16137 │ LOW │ │ 3.2.6 │ 2.6.9, 3.1.0, 3.2.7, 4.3.1 │ nodejs-debug: Regular expression Denial of Service │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-16137 │
├─────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ flat (package.json) │ CVE-2020-36632 │ CRITICAL │ │ 4.1.1 │ 5.0.1 │ flat vulnerable to Prototype Pollution │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-36632 │
├─────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ got (package.json) │ CVE-2022-33987 │ MEDIUM │ │ 6.7.1 │ 12.1.0, 11.8.5 │ nodejs-got: missing verification of requested URLs allows │
│ │ │ │ │ │ │ redirects to UNIX sockets │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-33987 │
├─────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ http-cache-semantics (package.json) │ CVE-2022-25881 │ HIGH │ │ 4.1.0 │ 4.1.1 │ http-cache-semantics: Regular Expression Denial of Service │
│ │ │ │ │ │ │ (ReDoS) vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25881 │
├─────────────────────────────────────┼────────────────┤ ├──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ip (package.json) │ CVE-2024-29415 │ │ affected │ 1.1.5 │ │ node-ip: Incomplete fix for CVE-2023-42282 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29415 │
│ ├────────────────┼──────────┼──────────┤ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-42282 │ LOW │ fixed │ │ 2.0.1, 1.1.9 │ nodejs-ip: arbitrary code execution via the isPublic() │
│ │ │ │ │ │ │ function │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-42282 │
├─────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ micromatch (package.json) │ CVE-2024-4067 │ MEDIUM │ │ 3.1.10 │ 4.0.8 │ micromatch: vulnerable to Regular Expression Denial of │
│ │ │ │ │ │ │ Service │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-4067 │
├─────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ minimatch (package.json) │ CVE-2022-3517 │ HIGH │ │ 3.0.4 │ 3.0.5 │ nodejs-minimatch: ReDoS via the braceExpand function │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3517 │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├─────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ npm (package.json) │ CVE-2022-29244 │ │ │ 8.1.2 │ 8.11.0 │ nodejs: npm pack ignores root-level .gitignore and │
│ │ │ │ │ │ │ .npmignore file exclusion directives when... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29244 │
├─────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ request (package.json) │ CVE-2023-28155 │ MEDIUM │ affected │ 2.88.2 │ │ The Request package through 2.88.1 for Node.js allows a │
│ │ │ │ │ │ │ bypass of SSRF... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28155 │
├─────────────────────────────────────┼────────────────┼──────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ semver (package.json) │ CVE-2022-25883 │ HIGH │ fixed │ 7.3.5 │ 7.5.2, 6.3.1, 5.7.2 │ nodejs-semver: Regular expression denial of service │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25883 │
├─────────────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ tar (package.json) │ CVE-2024-28863 │ MEDIUM │ │ 6.1.11 │ 6.2.1 │ node-tar: denial of service while parsing a tar file due to │
│ │ │ │ │ │ │ lack... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28863 │
├─────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ tough-cookie (package.json) │ CVE-2023-26136 │ │ │ 2.5.0 │ 4.1.3 │ tough-cookie: prototype pollution in cookie memstore │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26136 │
├─────────────────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ xml2js (package.json) │ CVE-2023-0842 │ │ │ 0.2.8 │ 0.5.0 │ node-xml2js: xml2js is vulnerable to prototype pollution │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0842 │
└─────────────────────────────────────┴────────────────┴──────────┴──────────┴───────────────────┴────────────────────────────┴──────────────────────────────────────────────────────────────┘