diff --git a/security_analysis14.txt b/security_analysis14.txt new file mode 100644 index 0000000000000000000000000000000000000000..1e3d14094f8214fe284c9da3f911c09ce9cbe692 --- /dev/null +++ b/security_analysis14.txt @@ -0,0 +1,1464 @@ +/mnt/REMI_DATA2/filodoo14.tar (debian 10.12) + +Total: 373 (UNKNOWN: 0, LOW: 197, MEDIUM: 58, HIGH: 82, CRITICAL: 36) + +┌──────────────────────┬──────────────────┬──────────┬─────────────────────────┬─────────────────┬──────────────────────────────────────────────────────────────┐ +│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ apt │ CVE-2011-3374 │ LOW │ 1.8.2.3 │ │ It was found that apt-key in apt, all versions, do not │ +│ │ │ │ │ │ correctly... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ bash │ CVE-2019-18276 │ │ 5.0-4 │ │ bash: when effective UID is not equal to its real UID the... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-18276 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ bsdutils │ CVE-2021-37600 │ │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │ +│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ +│ │ │ │ │ │ and chsh when compiled... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ coreutils │ CVE-2016-2781 │ │ 8.30-3 │ │ coreutils: Non-privileged session can escape to the parent │ +│ │ │ │ │ │ session in chroot │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-2781 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-18018 │ │ │ │ coreutils: race condition vulnerability in chown and chgrp │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-18018 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ curl │ CVE-2021-22946 │ HIGH │ 7.64.0-4+deb10u2 │ │ curl: Requirement to use TLS not properly enforced for IMAP, │ +│ │ │ │ │ │ POP3, and... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22946 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-22576 │ │ │ │ curl: OAUTH2 bearer bypass in connection re-use │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22576 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27781 │ │ │ │ curl: CERTINFO never-ending busy-loop │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27781 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27782 │ │ │ │ curl: TLS and SSH connection too eager reuse │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27782 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22947 │ MEDIUM │ │ │ curl: Server responses received before STARTTLS processed │ +│ │ │ │ │ │ after TLS handshake │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22947 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27774 │ │ │ │ curl: credential leak on redirect │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27774 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27776 │ │ │ │ curl: auth/cookie leak on redirect │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27776 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32206 │ │ │ │ curl: HTTP compression denial of service │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32206 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32208 │ │ │ │ curl: FTP-KRB bad message verification │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32208 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22898 │ LOW │ │ │ curl: TELNET stack contents disclosure │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22898 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22922 │ │ │ │ curl: Content not matching hash in Metalink is not being │ +│ │ │ │ │ │ discarded │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22922 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22923 │ │ │ │ curl: Metalink download sends credentials │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22923 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22924 │ │ │ │ curl: Bad connection reuse due to flawed path name checks │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22924 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ dirmngr │ CVE-2019-14855 │ │ 2.2.12-1+deb10u2 │ │ gnupg2: OpenPGP Key Certification Forgeries with SHA-1 │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14855 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ e2fsprogs │ CVE-2022-1304 │ HIGH │ 1.44.5-1+deb10u3 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ fdisk │ CVE-2021-37600 │ LOW │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │ +│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ +│ │ │ │ │ │ and chsh when compiled... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ gcc-8-base │ CVE-2018-12886 │ HIGH │ 8.3.0-6 │ │ gcc: spilling of stack protection address in cfgexpand.c and │ +│ │ │ │ │ │ function.c leads to... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-12886 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-15847 │ │ │ │ gcc: POWER9 "DARN" RNG intrinsic produces repeated output │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-15847 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ git │ CVE-2021-21300 │ │ 1:2.20.1-2+deb10u3 │ │ git: remote code execution during clone operation on │ +│ │ │ │ │ │ case-insensitive filesystems │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21300 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-40330 │ │ │ │ git: unexpected cross-protocol requests via a repository │ +│ │ │ │ │ │ path containing a newline character... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-40330 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-24765 │ │ │ │ git: On multi-user machines Git users might find themselves │ +│ │ │ │ │ │ unexpectedly in a... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24765 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-29187 │ │ │ │ git: Bypass of safe.directory protections │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29187 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-1000021 │ LOW │ │ │ git: client prints server-sent ANSI escape codes to the │ +│ │ │ │ │ │ terminal, allowing for... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1000021 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-24975 │ │ │ │ git: The --mirror option for git leaks secret for deleted │ +│ │ │ │ │ │ content, aka... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24975 │ +├──────────────────────┼──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ git-man │ CVE-2021-21300 │ HIGH │ │ │ git: remote code execution during clone operation on │ +│ │ │ │ │ │ case-insensitive filesystems │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-21300 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-40330 │ │ │ │ git: unexpected cross-protocol requests via a repository │ +│ │ │ │ │ │ path containing a newline character... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-40330 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-24765 │ │ │ │ git: On multi-user machines Git users might find themselves │ +│ │ │ │ │ │ unexpectedly in a... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24765 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-29187 │ │ │ │ git: Bypass of safe.directory protections │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29187 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-1000021 │ LOW │ │ │ git: client prints server-sent ANSI escape codes to the │ +│ │ │ │ │ │ terminal, allowing for... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1000021 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-24975 │ │ │ │ git: The --mirror option for git leaks secret for deleted │ +│ │ │ │ │ │ content, aka... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24975 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ gnupg │ CVE-2019-14855 │ │ 2.2.12-1+deb10u2 │ │ gnupg2: OpenPGP Key Certification Forgeries with SHA-1 │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-14855 │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ gnupg-l10n │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ gnupg-utils │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ gpg │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ gpg-agent │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ gpg-wks-client │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ gpg-wks-server │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ gpgconf │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ gpgsm │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ gpgv │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libapt-pkg5.0 │ CVE-2011-3374 │ │ 1.8.2.3 │ │ It was found that apt-key in apt, all versions, do not │ +│ │ │ │ │ │ correctly... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libatomic1 │ CVE-2018-12886 │ HIGH │ 8.3.0-6 │ │ gcc: spilling of stack protection address in cfgexpand.c and │ +│ │ │ │ │ │ function.c leads to... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-12886 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-15847 │ │ │ │ gcc: POWER9 "DARN" RNG intrinsic produces repeated output │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-15847 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libblkid1 │ CVE-2021-37600 │ LOW │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │ +│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ +│ │ │ │ │ │ and chsh when compiled... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libc-bin │ CVE-2021-33574 │ CRITICAL │ 2.28-10+deb10u1 │ │ glibc: mq_notify does not handle separately allocated thread │ +│ │ │ │ │ │ attributes │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33574 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-35942 │ │ │ │ glibc: Arbitrary read in wordexp() │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-35942 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-23218 │ │ │ │ glibc: Stack-based buffer overflow in svcunix_create via │ +│ │ │ │ │ │ long pathnames │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23218 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-23219 │ │ │ │ glibc: Stack-based buffer overflow in sunrpc clnt_create via │ +│ │ │ │ │ │ a long pathname │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23219 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-1751 │ HIGH │ │ │ glibc: array overflow in backtrace functions for powerpc │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-1751 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-1752 │ │ │ │ glibc: use-after-free in glob() function when expanding │ +│ │ │ │ │ │ ~user │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-1752 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-3326 │ │ │ │ glibc: Assertion failure in ISO-2022-JP-3 gconv module │ +│ │ │ │ │ │ related to combining characters │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3326 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-3999 │ │ │ │ glibc: Off-by-one buffer overflow/underflow in getcwd() │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3999 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-25013 │ MEDIUM │ │ │ glibc: buffer over-read in iconv when processing invalid │ +│ │ │ │ │ │ multi-byte input sequences in... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-25013 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-10029 │ │ │ │ glibc: stack corruption from crafted input in cosl, sinl, │ +│ │ │ │ │ │ sincosl, and tanl... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10029 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-27618 │ │ │ │ glibc: iconv when processing invalid multi-byte input │ +│ │ │ │ │ │ sequences fails to advance the... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-27618 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2010-4756 │ LOW │ │ │ glibc: glob implementation can cause excessive CPU and │ +│ │ │ │ │ │ memory consumption due to... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2016-10228 │ │ │ │ glibc: iconv program can hang when invoked with the -c │ +│ │ │ │ │ │ option │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-10228 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-20796 │ │ │ │ glibc: uncontrolled recursion in function │ +│ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-1010022 │ │ │ │ glibc: stack guard protection bypass │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-1010023 │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │ +│ │ │ │ │ │ because of... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-1010024 │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-1010025 │ │ │ │ glibc: information disclosure of heap addresses of │ +│ │ │ │ │ │ pthread_created thread │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-19126 │ │ │ │ glibc: LD_PREFER_MAP_32BIT_EXEC not ignored in setuid │ +│ │ │ │ │ │ binaries │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19126 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-9192 │ │ │ │ glibc: uncontrolled recursion in function │ +│ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-6096 │ │ │ │ glibc: signed comparison vulnerability in the ARMv7 memcpy │ +│ │ │ │ │ │ function │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-6096 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-27645 │ │ │ │ glibc: Use-after-free in addgetnetgrentX function in │ +│ │ │ │ │ │ netgroupcache.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-27645 │ +├──────────────────────┼──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libc6 │ CVE-2021-33574 │ CRITICAL │ │ │ glibc: mq_notify does not handle separately allocated thread │ +│ │ │ │ │ │ attributes │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33574 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-35942 │ │ │ │ glibc: Arbitrary read in wordexp() │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-35942 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-23218 │ │ │ │ glibc: Stack-based buffer overflow in svcunix_create via │ +│ │ │ │ │ │ long pathnames │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23218 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-23219 │ │ │ │ glibc: Stack-based buffer overflow in sunrpc clnt_create via │ +│ │ │ │ │ │ a long pathname │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23219 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-1751 │ HIGH │ │ │ glibc: array overflow in backtrace functions for powerpc │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-1751 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-1752 │ │ │ │ glibc: use-after-free in glob() function when expanding │ +│ │ │ │ │ │ ~user │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-1752 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-3326 │ │ │ │ glibc: Assertion failure in ISO-2022-JP-3 gconv module │ +│ │ │ │ │ │ related to combining characters │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3326 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-3999 │ │ │ │ glibc: Off-by-one buffer overflow/underflow in getcwd() │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3999 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-25013 │ MEDIUM │ │ │ glibc: buffer over-read in iconv when processing invalid │ +│ │ │ │ │ │ multi-byte input sequences in... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-25013 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-10029 │ │ │ │ glibc: stack corruption from crafted input in cosl, sinl, │ +│ │ │ │ │ │ sincosl, and tanl... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10029 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-27618 │ │ │ │ glibc: iconv when processing invalid multi-byte input │ +│ │ │ │ │ │ sequences fails to advance the... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-27618 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2010-4756 │ LOW │ │ │ glibc: glob implementation can cause excessive CPU and │ +│ │ │ │ │ │ memory consumption due to... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2016-10228 │ │ │ │ glibc: iconv program can hang when invoked with the -c │ +│ │ │ │ │ │ option │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-10228 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-20796 │ │ │ │ glibc: uncontrolled recursion in function │ +│ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-1010022 │ │ │ │ glibc: stack guard protection bypass │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-1010023 │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │ +│ │ │ │ │ │ because of... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-1010024 │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-1010025 │ │ │ │ glibc: information disclosure of heap addresses of │ +│ │ │ │ │ │ pthread_created thread │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-19126 │ │ │ │ glibc: LD_PREFER_MAP_32BIT_EXEC not ignored in setuid │ +│ │ │ │ │ │ binaries │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19126 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-9192 │ │ │ │ glibc: uncontrolled recursion in function │ +│ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-6096 │ │ │ │ glibc: signed comparison vulnerability in the ARMv7 memcpy │ +│ │ │ │ │ │ function │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-6096 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-27645 │ │ │ │ glibc: Use-after-free in addgetnetgrentX function in │ +│ │ │ │ │ │ netgroupcache.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-27645 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libcom-err2 │ CVE-2022-1304 │ HIGH │ 1.44.5-1+deb10u3 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libcurl3-gnutls │ CVE-2021-22946 │ │ 7.64.0-4+deb10u2 │ │ curl: Requirement to use TLS not properly enforced for IMAP, │ +│ │ │ │ │ │ POP3, and... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22946 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-22576 │ │ │ │ curl: OAUTH2 bearer bypass in connection re-use │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22576 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27781 │ │ │ │ curl: CERTINFO never-ending busy-loop │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27781 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27782 │ │ │ │ curl: TLS and SSH connection too eager reuse │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27782 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22947 │ MEDIUM │ │ │ curl: Server responses received before STARTTLS processed │ +│ │ │ │ │ │ after TLS handshake │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22947 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27774 │ │ │ │ curl: credential leak on redirect │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27774 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27776 │ │ │ │ curl: auth/cookie leak on redirect │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27776 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32206 │ │ │ │ curl: HTTP compression denial of service │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32206 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32208 │ │ │ │ curl: FTP-KRB bad message verification │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32208 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22898 │ LOW │ │ │ curl: TELNET stack contents disclosure │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22898 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22922 │ │ │ │ curl: Content not matching hash in Metalink is not being │ +│ │ │ │ │ │ discarded │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22922 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22923 │ │ │ │ curl: Metalink download sends credentials │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22923 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22924 │ │ │ │ curl: Bad connection reuse due to flawed path name checks │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22924 │ +├──────────────────────┼──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libcurl4 │ CVE-2021-22946 │ HIGH │ │ │ curl: Requirement to use TLS not properly enforced for IMAP, │ +│ │ │ │ │ │ POP3, and... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22946 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-22576 │ │ │ │ curl: OAUTH2 bearer bypass in connection re-use │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22576 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27781 │ │ │ │ curl: CERTINFO never-ending busy-loop │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27781 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27782 │ │ │ │ curl: TLS and SSH connection too eager reuse │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27782 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22947 │ MEDIUM │ │ │ curl: Server responses received before STARTTLS processed │ +│ │ │ │ │ │ after TLS handshake │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22947 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27774 │ │ │ │ curl: credential leak on redirect │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27774 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27776 │ │ │ │ curl: auth/cookie leak on redirect │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27776 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32206 │ │ │ │ curl: HTTP compression denial of service │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32206 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32208 │ │ │ │ curl: FTP-KRB bad message verification │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32208 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22898 │ LOW │ │ │ curl: TELNET stack contents disclosure │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22898 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22922 │ │ │ │ curl: Content not matching hash in Metalink is not being │ +│ │ │ │ │ │ discarded │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22922 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22923 │ │ │ │ curl: Metalink download sends credentials │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22923 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22924 │ │ │ │ curl: Bad connection reuse due to flawed path name checks │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22924 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libdb5.3 │ CVE-2019-8457 │ CRITICAL │ 5.3.28+dfsg1-0.5 │ │ sqlite: heap out-of-bound read in function rtreenode() │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-8457 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libexpat1 │ CVE-2013-0340 │ LOW │ 2.2.6-2+deb10u4 │ │ expat: internal entity expansion │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-0340 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libext2fs2 │ CVE-2022-1304 │ HIGH │ 1.44.5-1+deb10u3 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libfdisk1 │ CVE-2021-37600 │ LOW │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │ +│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ +│ │ │ │ │ │ and chsh when compiled... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libfreetype6 │ CVE-2022-27404 │ CRITICAL │ 2.9.1-3+deb10u2 │ │ FreeType: Buffer Overflow │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27404 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27405 │ HIGH │ │ │ FreeType: Segementation Fault │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27405 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-27406 │ │ │ │ Freetype: Segmentation violation │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27406 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-31782 │ LOW │ │ │ ftbench.c in FreeType Demo Programs through 2.12.1 has a │ +│ │ │ │ │ │ heap-based bu ...... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-31782 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libgcc1 │ CVE-2018-12886 │ HIGH │ 8.3.0-6 │ │ gcc: spilling of stack protection address in cfgexpand.c and │ +│ │ │ │ │ │ function.c leads to... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-12886 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-15847 │ │ │ │ gcc: POWER9 "DARN" RNG intrinsic produces repeated output │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-15847 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libgcrypt20 │ CVE-2021-33560 │ │ 1.8.4-5+deb10u1 │ │ libgcrypt: mishandles ElGamal encryption because it lacks │ +│ │ │ │ │ │ exponent blinding to address a... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33560 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-13627 │ MEDIUM │ │ │ libgcrypt: ECDSA timing attack allowing private key leak │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-13627 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-6829 │ LOW │ │ │ libgcrypt: ElGamal implementation doesn't have semantic │ +│ │ │ │ │ │ security due to incorrectly encoded plaintexts... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-6829 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libgnutls30 │ CVE-2022-2509 │ HIGH │ 3.6.7-4+deb10u7 │ 3.6.7-4+deb10u9 │ gnutls: Double free during gnutls_pkcs7_verify. │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2509 │ +│ ├──────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-4209 │ MEDIUM │ │ │ GnuTLS: Null pointer dereference in MD_UPDATE │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4209 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2011-3389 │ LOW │ │ │ HTTPS: block-wise chosen-plaintext attack against SSL/TLS │ +│ │ │ │ │ │ (BEAST) │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3389 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libgssapi-krb5-2 │ CVE-2004-0971 │ │ 1.17-3+deb10u3 │ │ security flaw │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2004-0971 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-5709 │ │ │ │ krb5: integer overflow in dbentry->n_key_data in │ +│ │ │ │ │ │ kadmin/dbutil/dump.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libidn2-0 │ CVE-2019-12290 │ HIGH │ 2.0.5-1+deb10u1 │ │ GNU libidn2 before 2.2.0 fails to perform the roundtrip │ +│ │ │ │ │ │ checks specifi ...... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-12290 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libjpeg62-turbo │ CVE-2021-46822 │ MEDIUM │ 1:1.5.2-2+deb10u1 │ │ libjpeg-turbo: heap buffer overflow in get_word_rgb_row() in │ +│ │ │ │ │ │ rdppm.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-46822 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-15232 │ LOW │ │ │ libjpeg-turbo: NULL pointer dereference in jdpostct.c and │ +│ │ │ │ │ │ jquant1.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-15232 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-11813 │ │ │ │ libjpeg: "cjpeg" utility large loop because read_pixel in │ +│ │ │ │ │ │ rdtarga.c mishandles EOF │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-11813 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-17541 │ │ │ │ libjpeg-turbo: Stack-based buffer overflow in the │ +│ │ │ │ │ │ "transform" component │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-17541 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libk5crypto3 │ CVE-2004-0971 │ │ 1.17-3+deb10u3 │ │ security flaw │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2004-0971 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-5709 │ │ │ │ krb5: integer overflow in dbentry->n_key_data in │ +│ │ │ │ │ │ kadmin/dbutil/dump.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │ +├──────────────────────┼──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libkrb5-3 │ CVE-2004-0971 │ │ │ │ security flaw │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2004-0971 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-5709 │ │ │ │ krb5: integer overflow in dbentry->n_key_data in │ +│ │ │ │ │ │ kadmin/dbutil/dump.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │ +├──────────────────────┼──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libkrb5support0 │ CVE-2004-0971 │ │ │ │ security flaw │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2004-0971 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-5709 │ │ │ │ krb5: integer overflow in dbentry->n_key_data in │ +│ │ │ │ │ │ kadmin/dbutil/dump.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libldap-2.4-2 │ CVE-2015-3276 │ │ 2.4.47+dfsg-3+deb10u7 │ │ openldap: incorrect multi-keyword mode cipherstring parsing │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-3276 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-14159 │ │ │ │ openldap: Privilege escalation via PID file manipulation │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-14159 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-17740 │ │ │ │ openldap: contrib/slapd-modules/nops/nops.c attempts to free │ +│ │ │ │ │ │ stack buffer allowing remote attackers to cause... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17740 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-15719 │ │ │ │ openldap: Certificate validation incorrectly matches name │ +│ │ │ │ │ │ against CN-ID │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-15719 │ +├──────────────────────┼──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libldap-common │ CVE-2015-3276 │ │ │ │ openldap: incorrect multi-keyword mode cipherstring parsing │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-3276 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-14159 │ │ │ │ openldap: Privilege escalation via PID file manipulation │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-14159 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-17740 │ │ │ │ openldap: contrib/slapd-modules/nops/nops.c attempts to free │ +│ │ │ │ │ │ stack buffer allowing remote attackers to cause... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17740 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-15719 │ │ │ │ openldap: Certificate validation incorrectly matches name │ +│ │ │ │ │ │ against CN-ID │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-15719 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ liblz4-1 │ CVE-2019-17543 │ │ 1.8.3-1+deb10u1 │ │ lz4: heap-based buffer overflow in LZ4_write32 │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17543 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libmount1 │ CVE-2021-37600 │ │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │ +│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ +│ │ │ │ │ │ and chsh when compiled... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libncursesw6 │ CVE-2022-29458 │ HIGH │ 6.1+20181013-2+deb10u2 │ │ ncurses: segfaulting OOB read │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29458 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-39537 │ LOW │ │ │ ncurses: heap-based buffer overflow in _nc_captoinfo() in │ +│ │ │ │ │ │ captoinfo.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-39537 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libnghttp2-14 │ CVE-2020-11080 │ HIGH │ 1.36.0-2+deb10u1 │ │ nghttp2: overly large SETTINGS frames can lead to DoS │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11080 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libnode-dev │ CVE-2021-22930 │ CRITICAL │ 10.24.0~dfsg-1~deb10u1 │ │ nodejs: Use-after-free on close http2 on stream canceling │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22930 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32213 │ │ │ │ nodejs: HTTP request smuggling due to flawed parsing of │ +│ │ │ │ │ │ Transfer-Encoding │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32213 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32214 │ │ │ │ nodejs: HTTP request smuggling due to improper delimiting of │ +│ │ │ │ │ │ header fields │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32214 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32215 │ │ │ │ nodejs: HTTP request smuggling due to incorrect parsing of │ +│ │ │ │ │ │ multi-line Transfer-Encoding │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32215 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-44531 │ HIGH │ │ │ nodejs: Improper handling of URI Subject Alternative Names │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44531 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-21824 │ │ │ │ nodejs: Prototype pollution via console.table properties │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21824 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32212 │ │ │ │ nodejs: DNS rebinding in --inspect via invalid IP addresses │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32212 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22939 │ MEDIUM │ │ │ nodejs: Incomplete validation of tls rejectUnauthorized │ +│ │ │ │ │ │ parameter │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22939 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22959 │ │ │ │ llhttp: HTTP Request Smuggling due to spaces in headers │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22959 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22960 │ │ │ │ llhttp: HTTP Request Smuggling when parsing the body of │ +│ │ │ │ │ │ chunked requests │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22960 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-44532 │ │ │ │ nodejs: Certificate Verification Bypass via String Injection │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44532 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-44533 │ │ │ │ nodejs: Incorrect handling of certificate subject and issuer │ +│ │ │ │ │ │ fields │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44533 │ +├──────────────────────┼──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libnode64 │ CVE-2021-22930 │ CRITICAL │ │ │ nodejs: Use-after-free on close http2 on stream canceling │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22930 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32213 │ │ │ │ nodejs: HTTP request smuggling due to flawed parsing of │ +│ │ │ │ │ │ Transfer-Encoding │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32213 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32214 │ │ │ │ nodejs: HTTP request smuggling due to improper delimiting of │ +│ │ │ │ │ │ header fields │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32214 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32215 │ │ │ │ nodejs: HTTP request smuggling due to incorrect parsing of │ +│ │ │ │ │ │ multi-line Transfer-Encoding │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32215 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-44531 │ HIGH │ │ │ nodejs: Improper handling of URI Subject Alternative Names │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44531 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-21824 │ │ │ │ nodejs: Prototype pollution via console.table properties │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21824 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32212 │ │ │ │ nodejs: DNS rebinding in --inspect via invalid IP addresses │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32212 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22939 │ MEDIUM │ │ │ nodejs: Incomplete validation of tls rejectUnauthorized │ +│ │ │ │ │ │ parameter │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22939 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22959 │ │ │ │ llhttp: HTTP Request Smuggling due to spaces in headers │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22959 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22960 │ │ │ │ llhttp: HTTP Request Smuggling when parsing the body of │ +│ │ │ │ │ │ chunked requests │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22960 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-44532 │ │ │ │ nodejs: Certificate Verification Bypass via String Injection │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44532 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-44533 │ │ │ │ nodejs: Incorrect handling of certificate subject and issuer │ +│ │ │ │ │ │ fields │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44533 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libpcre2-8-0 │ CVE-2022-1586 │ CRITICAL │ 10.32-5 │ │ pcre2: Out-of-bounds read in compile_xclass_matchingpath in │ +│ │ │ │ │ │ pcre2_jit_compile.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1586 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-1587 │ │ │ │ pcre2: Out-of-bounds read in get_recurse_data_length in │ +│ │ │ │ │ │ pcre2_jit_compile.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1587 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-20454 │ HIGH │ │ │ pcre: Out of bounds read in JIT mode when \X is used... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20454 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libpcre3 │ CVE-2020-14155 │ MEDIUM │ 2:8.39-12 │ │ pcre: Integer overflow when parsing callout numeric │ +│ │ │ │ │ │ arguments │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14155 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-11164 │ LOW │ │ │ pcre: OP_KETRMAX feature in the match function in │ +│ │ │ │ │ │ pcre_exec.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-11164 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-16231 │ │ │ │ pcre: self-recursive call in match() in pcre_exec.c leads to │ +│ │ │ │ │ │ denial of service... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-16231 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-7245 │ │ │ │ pcre: stack-based buffer overflow write in │ +│ │ │ │ │ │ pcre32_copy_substring │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-7245 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-7246 │ │ │ │ pcre: stack-based buffer overflow write in │ +│ │ │ │ │ │ pcre32_copy_substring │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-7246 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-20838 │ │ │ │ pcre: Buffer over-read in JIT when UTF is disabled and \X │ +│ │ │ │ │ │ or... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20838 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libperl5.28 │ CVE-2020-16156 │ HIGH │ 5.28.1-6+deb10u1 │ │ perl-CPAN: Bypass of verification of signatures in CHECKSUMS │ +│ │ │ │ │ │ files │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-16156 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2011-4116 │ LOW │ │ │ perl: File::Temp insecure temporary file handling │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-4116 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libpng16-16 │ CVE-2018-14048 │ │ 1.6.36-6 │ │ libpng: Segmentation fault in png.c:png_free_data function │ +│ │ │ │ │ │ causing denial of service │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14048 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-14550 │ │ │ │ libpng: Stack-based buffer overflow in │ +│ │ │ │ │ │ contrib/pngminus/pnm2png.c:get_token() potentially leading │ +│ │ │ │ │ │ to arbitrary code execution... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-14550 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-6129 │ │ │ │ libpng: memory leak of png_info struct in pngcp.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-6129 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-4214 │ │ │ │ libpng: hardcoded value leads to heap-overflow │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4214 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libpython-stdlib │ CVE-2008-4108 │ │ 2.7.16-1 │ │ python: Generic FAQ wizard moving tool insecure auxiliary │ +│ │ │ │ │ │ /tmp file usage (symlink... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2008-4108 │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ libpython2-stdlib │ │ │ │ │ │ +│ │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libpython2.7-minimal │ CVE-2015-20107 │ CRITICAL │ 2.7.16-2+deb10u1 │ │ python(mailcap): findmatch() function does not sanitise the │ +│ │ │ │ │ │ second argument │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-20107 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-3177 │ │ │ │ python: Stack-based buffer overflow in PyCArg_repr in │ +│ │ │ │ │ │ _ctypes/callproc.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3177 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-23336 │ MEDIUM │ │ │ python: Web cache poisoning via urllib.parse.parse_qsl and │ +│ │ │ │ │ │ urllib.parse.parse_qs by using a semicolon... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-23336 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-4189 │ │ │ │ python: ftplib should not use the host from the PASV │ +│ │ │ │ │ │ response │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4189 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2013-7040 │ LOW │ │ │ python: hash secret can be recovered remotely │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-7040 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-17522 │ │ │ │ python: Command injection in Lib/webbrowser.py │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17522 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-18348 │ │ │ │ python: CRLF injection via the host part of the url passed │ +│ │ │ │ │ │ to... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-18348 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-20907 │ │ │ │ python: infinite loop in the tarfile module via crafted TAR │ +│ │ │ │ │ │ archive │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20907 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-9674 │ │ │ │ python: Nested zip file (Zip bomb) vulnerability in │ +│ │ │ │ │ │ Lib/zipfile.py │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9674 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-8492 │ │ │ │ python: wrong backtracking in │ +│ │ │ │ │ │ urllib.request.AbstractBasicAuthHandler allows for a ReDoS │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8492 │ +├──────────────────────┼──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libpython2.7-stdlib │ CVE-2015-20107 │ CRITICAL │ │ │ python(mailcap): findmatch() function does not sanitise the │ +│ │ │ │ │ │ second argument │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-20107 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-3177 │ │ │ │ python: Stack-based buffer overflow in PyCArg_repr in │ +│ │ │ │ │ │ _ctypes/callproc.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3177 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-23336 │ MEDIUM │ │ │ python: Web cache poisoning via urllib.parse.parse_qsl and │ +│ │ │ │ │ │ urllib.parse.parse_qs by using a semicolon... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-23336 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-4189 │ │ │ │ python: ftplib should not use the host from the PASV │ +│ │ │ │ │ │ response │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4189 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2013-7040 │ LOW │ │ │ python: hash secret can be recovered remotely │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-7040 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-17522 │ │ │ │ python: Command injection in Lib/webbrowser.py │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17522 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-18348 │ │ │ │ python: CRLF injection via the host part of the url passed │ +│ │ │ │ │ │ to... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-18348 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-20907 │ │ │ │ python: infinite loop in the tarfile module via crafted TAR │ +│ │ │ │ │ │ archive │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20907 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-9674 │ │ │ │ python: Nested zip file (Zip bomb) vulnerability in │ +│ │ │ │ │ │ Lib/zipfile.py │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9674 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-8492 │ │ │ │ python: wrong backtracking in │ +│ │ │ │ │ │ urllib.request.AbstractBasicAuthHandler allows for a ReDoS │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8492 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libseccomp2 │ CVE-2019-9893 │ │ 2.3.3-4 │ │ libseccomp: incorrect generation of syscall filters in │ +│ │ │ │ │ │ libseccomp │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9893 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libsepol1 │ CVE-2021-36084 │ │ 2.8-1 │ │ libsepol: use-after-free in __cil_verify_classperms() │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36084 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-36085 │ │ │ │ libsepol: use-after-free in __cil_verify_classperms() │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36085 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-36086 │ │ │ │ libsepol: use-after-free in cil_reset_classpermission() │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36086 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-36087 │ │ │ │ libsepol: heap-based buffer overflow in ebitmap_match_any() │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36087 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libsmartcols1 │ CVE-2021-37600 │ │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │ +│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ +│ │ │ │ │ │ and chsh when compiled... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libsqlite3-0 │ CVE-2019-19603 │ HIGH │ 3.27.2-3+deb10u1 │ │ sqlite: mishandling of certain SELECT statements with │ +│ │ │ │ │ │ non-existent VIEW can lead to... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19603 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-19645 │ MEDIUM │ │ │ sqlite: infinite recursion via certain types of │ +│ │ │ │ │ │ self-referential views in conjunction with... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19645 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-19924 │ │ │ │ sqlite: incorrect sqlite3WindowRewrite() error handling │ +│ │ │ │ │ │ leads to mishandling certain parser-tree rewriting │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19924 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-13631 │ │ │ │ sqlite: Virtual table can be renamed into the name of one │ +│ │ │ │ │ │ of... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13631 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-45346 │ │ │ │ sqlite: crafted SQL query allows a malicious user to obtain │ +│ │ │ │ │ │ sensitive information... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-45346 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-19244 │ LOW │ │ │ sqlite: allows a crash if a sub-select uses both DISTINCT │ +│ │ │ │ │ │ and window... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19244 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-11656 │ │ │ │ sqlite: use-after-free in the ALTER TABLE implementation │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11656 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-36690 │ │ │ │ ** DISPUTED ** A segmentation fault can occur in the │ +│ │ │ │ │ │ sqlite3.exe comma... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36690 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-35737 │ │ │ │ sqlite: assertion failure via query when compiled with │ +│ │ │ │ │ │ -DSQLITE_ENABLE_STAT4 │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-35737 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libss2 │ CVE-2022-1304 │ HIGH │ 1.44.5-1+deb10u3 │ │ e2fsprogs: out-of-bounds read/write via crafted filesystem │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1304 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libssh2-1 │ CVE-2019-13115 │ │ 1.8.0-2.1 │ │ libssh2: integer overflow in │ +│ │ │ │ │ │ kex_method_diffie_hellman_group_exchange_sha256_key_exchange │ +│ │ │ │ │ │ in kex.c leads to out-of-bounds write │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-13115 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-17498 │ LOW │ │ │ libssh2: integer overflow in SSH_MSG_DISCONNECT logic in │ +│ │ │ │ │ │ packet.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-17498 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libssl-dev │ CVE-2022-2097 │ HIGH │ 1.1.1n-0+deb10u3 │ │ openssl: AES OCB fails to encrypt some bytes │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2097 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2007-6755 │ LOW │ │ │ Dual_EC_DRBG: weak pseudo random number generator │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-6755 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2010-0928 │ │ │ │ openssl: RSA authentication weakness │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-0928 │ +├──────────────────────┼──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libssl1.1 │ CVE-2022-2097 │ HIGH │ │ │ openssl: AES OCB fails to encrypt some bytes │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2097 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2007-6755 │ LOW │ │ │ Dual_EC_DRBG: weak pseudo random number generator │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-6755 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2010-0928 │ │ │ │ openssl: RSA authentication weakness │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-0928 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libstdc++6 │ CVE-2018-12886 │ HIGH │ 8.3.0-6 │ │ gcc: spilling of stack protection address in cfgexpand.c and │ +│ │ │ │ │ │ function.c leads to... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-12886 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-15847 │ │ │ │ gcc: POWER9 "DARN" RNG intrinsic produces repeated output │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-15847 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libsystemd0 │ CVE-2019-3843 │ │ 241-7~deb10u8 │ │ systemd: services with DynamicUser can create SUID/SGID │ +│ │ │ │ │ │ binaries │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3843 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-3844 │ │ │ │ systemd: services with DynamicUser can get new privileges │ +│ │ │ │ │ │ and create SGID binaries... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3844 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-3997 │ MEDIUM │ │ │ systemd: Uncontrolled recursion in systemd-tmpfiles when │ +│ │ │ │ │ │ removing files │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3997 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2013-4392 │ LOW │ │ │ systemd: TOCTOU race condition when updating file │ +│ │ │ │ │ │ permissions and SELinux security contexts... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-20386 │ │ │ │ systemd: memory leak in button_open() in │ +│ │ │ │ │ │ login/logind-button.c when udev events are received... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20386 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-13529 │ │ │ │ systemd: DHCP FORCERENEW authentication not implemented can │ +│ │ │ │ │ │ cause a system running the... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13529 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-13776 │ │ │ │ systemd: Mishandles numerical usernames beginning with │ +│ │ │ │ │ │ decimal digits or 0x followed by... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13776 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libtasn1-6 │ CVE-2018-1000654 │ │ 4.13-3 │ │ libtasn1: Infinite loop in _asn1_expand_object_id(ptree) │ +│ │ │ │ │ │ leads to memory exhaustion │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1000654 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libtinfo6 │ CVE-2022-29458 │ HIGH │ 6.1+20181013-2+deb10u2 │ │ ncurses: segfaulting OOB read │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29458 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-39537 │ LOW │ │ │ ncurses: heap-based buffer overflow in _nc_captoinfo() in │ +│ │ │ │ │ │ captoinfo.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-39537 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libudev1 │ CVE-2019-3843 │ HIGH │ 241-7~deb10u8 │ │ systemd: services with DynamicUser can create SUID/SGID │ +│ │ │ │ │ │ binaries │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3843 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-3844 │ │ │ │ systemd: services with DynamicUser can get new privileges │ +│ │ │ │ │ │ and create SGID binaries... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-3844 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-3997 │ MEDIUM │ │ │ systemd: Uncontrolled recursion in systemd-tmpfiles when │ +│ │ │ │ │ │ removing files │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3997 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2013-4392 │ LOW │ │ │ systemd: TOCTOU race condition when updating file │ +│ │ │ │ │ │ permissions and SELinux security contexts... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-20386 │ │ │ │ systemd: memory leak in button_open() in │ +│ │ │ │ │ │ login/logind-button.c when udev events are received... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20386 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-13529 │ │ │ │ systemd: DHCP FORCERENEW authentication not implemented can │ +│ │ │ │ │ │ cause a system running the... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13529 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-13776 │ │ │ │ systemd: Mishandles numerical usernames beginning with │ +│ │ │ │ │ │ decimal digits or 0x followed by... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-13776 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libuuid1 │ CVE-2021-37600 │ │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │ +│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ +│ │ │ │ │ │ and chsh when compiled... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libuv1 │ CVE-2020-8252 │ │ 1.24.1-1+deb10u1 │ │ libuv: buffer overflow in realpath │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8252 │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ libuv1-dev │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libxml2 │ CVE-2017-16932 │ HIGH │ 2.9.4+dfsg1-7+deb10u4 │ │ libxml2: Infinite recursion in parameter entities │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-16932 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2016-3709 │ MEDIUM │ │ │ libxml: Incorrect server side include parsing can lead to │ +│ │ │ │ │ │ XSS │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-3709 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2016-9318 │ │ │ │ libxml2: XML External Entity vulnerability │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-9318 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ libxslt1.1 │ CVE-2019-5815 │ HIGH │ 1.1.32-2.2~deb10u1 │ │ chromium-browser: Heap buffer overflow in Blink │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-5815 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-30560 │ │ │ │ Use after free in Blink XSLT in Google Chrome prior to │ +│ │ │ │ │ │ 91.0.4472.164... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-30560 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2015-9019 │ LOW │ │ │ libxslt: math.random() in xslt uses unseeded randomness │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-9019 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ login │ CVE-2007-5686 │ │ 1:4.5-1.1 │ │ initscripts in rPath Linux 1 sets insecure permissions for │ +│ │ │ │ │ │ the /var/lo ...... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2013-4235 │ │ │ │ shadow-utils: TOCTOU race conditions by copying and removing │ +│ │ │ │ │ │ directory trees │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-7169 │ │ │ │ shadow-utils: newgidmap allows unprivileged user to drop │ +│ │ │ │ │ │ supplementary groups potentially allowing privilege... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-7169 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-19882 │ │ │ │ shadow-utils: local users can obtain root access because │ +│ │ │ │ │ │ setuid programs are misconfigured... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19882 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ mount │ CVE-2021-37600 │ │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │ +│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ +│ │ │ │ │ │ and chsh when compiled... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ ncurses-base │ CVE-2022-29458 │ HIGH │ 6.1+20181013-2+deb10u2 │ │ ncurses: segfaulting OOB read │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29458 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-39537 │ LOW │ │ │ ncurses: heap-based buffer overflow in _nc_captoinfo() in │ +│ │ │ │ │ │ captoinfo.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-39537 │ +├──────────────────────┼──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ ncurses-bin │ CVE-2022-29458 │ HIGH │ │ │ ncurses: segfaulting OOB read │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29458 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-39537 │ LOW │ │ │ ncurses: heap-based buffer overflow in _nc_captoinfo() in │ +│ │ │ │ │ │ captoinfo.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-39537 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ node-ajv │ CVE-2020-15366 │ MEDIUM │ 5.0.0-1 │ │ nodejs-ajv: prototype pollution via crafted JSON schema in │ +│ │ │ │ │ │ ajv.validate function │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-15366 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ node-got │ CVE-2022-33987 │ │ 7.1.0-1 │ │ got: missing verification of requested URLs allows redirects │ +│ │ │ │ │ │ to UNIX sockets │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-33987 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ node-json-schema │ CVE-2021-3918 │ CRITICAL │ 0.2.3-1 │ │ nodejs-json-schema: Prototype pollution vulnerability │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3918 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ node-minimist │ CVE-2021-44906 │ │ 1.2.0-1+deb10u1 │ │ minimist: prototype pollution │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44906 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ node-ssri │ CVE-2021-27290 │ HIGH │ 5.2.4-2 │ │ nodejs-ssri: Regular expression DoS (ReDoS) when parsing │ +│ │ │ │ │ │ malicious SRI in strict mode... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-27290 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ node-tar │ CVE-2021-37701 │ │ 4.4.6+ds1-3+deb10u1 │ │ nodejs-tar: Insufficient symlink protection due to directory │ +│ │ │ │ │ │ cache poisoning using symbolic links... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37701 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-37712 │ │ │ │ nodejs-tar: Insufficient symlink protection due to directory │ +│ │ │ │ │ │ cache poisoning using symbolic links... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37712 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ nodejs │ CVE-2021-22930 │ CRITICAL │ 10.24.0~dfsg-1~deb10u1 │ │ nodejs: Use-after-free on close http2 on stream canceling │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22930 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32213 │ │ │ │ nodejs: HTTP request smuggling due to flawed parsing of │ +│ │ │ │ │ │ Transfer-Encoding │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32213 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32214 │ │ │ │ nodejs: HTTP request smuggling due to improper delimiting of │ +│ │ │ │ │ │ header fields │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32214 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32215 │ │ │ │ nodejs: HTTP request smuggling due to incorrect parsing of │ +│ │ │ │ │ │ multi-line Transfer-Encoding │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32215 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-44531 │ HIGH │ │ │ nodejs: Improper handling of URI Subject Alternative Names │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44531 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-21824 │ │ │ │ nodejs: Prototype pollution via console.table properties │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21824 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-32212 │ │ │ │ nodejs: DNS rebinding in --inspect via invalid IP addresses │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32212 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22939 │ MEDIUM │ │ │ nodejs: Incomplete validation of tls rejectUnauthorized │ +│ │ │ │ │ │ parameter │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22939 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22959 │ │ │ │ llhttp: HTTP Request Smuggling due to spaces in headers │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22959 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-22960 │ │ │ │ llhttp: HTTP Request Smuggling when parsing the body of │ +│ │ │ │ │ │ chunked requests │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-22960 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-44532 │ │ │ │ nodejs: Certificate Verification Bypass via String Injection │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44532 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-44533 │ │ │ │ nodejs: Incorrect handling of certificate subject and issuer │ +│ │ │ │ │ │ fields │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-44533 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ npm │ CVE-2021-43616 │ CRITICAL │ 5.8.0+ds6-4+deb10u2 │ │ npm: npm ci succeeds when package-lock.json doesn't match │ +│ │ │ │ │ │ package.json │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-43616 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-39134 │ HIGH │ │ │ nodejs-arborist: symlink following vulnerability │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-39134 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-39135 │ │ │ │ nodejs-arborist: symlink following vulnerability │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-39135 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ openssh-client │ CVE-2021-41617 │ │ 1:7.9p1-10+deb10u2 │ │ openssh: privilege escalation when AuthorizedKeysCommand or │ +│ │ │ │ │ │ AuthorizedPrincipalsCommand are configured │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-41617 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2007-2243 │ LOW │ │ │ OpenSSH 4.6 and earlier, when │ +│ │ │ │ │ │ ChallengeResponseAuthentication is enabl ... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-2243 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2007-2768 │ │ │ │ OpenSSH, when using OPIE (One-Time Passwords in Everything) │ +│ │ │ │ │ │ for PAM, a ...... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-2768 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2008-3234 │ │ │ │ sshd in OpenSSH 4 on Debian GNU/Linux, and the 20070303 │ +│ │ │ │ │ │ OpenSSH snapsh... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2008-3234 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2016-20012 │ │ │ │ openssh: Public key information leak │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-20012 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-15919 │ │ │ │ openssh: User enumeration via malformed packets in │ +│ │ │ │ │ │ authentication requests │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-15919 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-16905 │ │ │ │ openssh: an integer overflow in the private key parsing code │ +│ │ │ │ │ │ for the... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-16905 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-6110 │ │ │ │ openssh: Acceptance and display of arbitrary stderr allows │ +│ │ │ │ │ │ for spoofing of scp... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-6110 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-12062 │ │ │ │ openssh: scp can send duplicate responses to the server upon │ +│ │ │ │ │ │ a utimes... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-12062 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-14145 │ │ │ │ openssh: Observable discrepancy leading to an information │ +│ │ │ │ │ │ leak in the algorithm negotiation... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-14145 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-15778 │ │ │ │ openssh: scp allows command injection when using backtick │ +│ │ │ │ │ │ characters in the destination... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-15778 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-36368 │ │ │ │ openssh: possible bypass of fido 2 devices and ssh-askpass │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-36368 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ openssl │ CVE-2022-2097 │ HIGH │ 1.1.1n-0+deb10u3 │ │ openssl: AES OCB fails to encrypt some bytes │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2097 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2007-6755 │ LOW │ │ │ Dual_EC_DRBG: weak pseudo random number generator │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-6755 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2010-0928 │ │ │ │ openssl: RSA authentication weakness │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-0928 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ passwd │ CVE-2007-5686 │ │ 1:4.5-1.1 │ │ initscripts in rPath Linux 1 sets insecure permissions for │ +│ │ │ │ │ │ the /var/lo ...... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2013-4235 │ │ │ │ shadow-utils: TOCTOU race conditions by copying and removing │ +│ │ │ │ │ │ directory trees │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4235 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-7169 │ │ │ │ shadow-utils: newgidmap allows unprivileged user to drop │ +│ │ │ │ │ │ supplementary groups potentially allowing privilege... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-7169 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-19882 │ │ │ │ shadow-utils: local users can obtain root access because │ +│ │ │ │ │ │ setuid programs are misconfigured... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-19882 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ patch │ CVE-2010-4651 │ │ 2.7.6-3+deb10u1 │ │ patch: directory traversal flaw allows for arbitrary file │ +│ │ │ │ │ │ creation │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4651 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-6951 │ │ │ │ patch: NULL pointer dereference in pch.c:intuit_diff_type() │ +│ │ │ │ │ │ causes a crash │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-6951 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2018-6952 │ │ │ │ patch: Double free of memory in pch.c:another_hunk() causes │ +│ │ │ │ │ │ a crash │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-6952 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-45261 │ │ │ │ patch: Invalid Pointer via another_hunk function │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-45261 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ perl │ CVE-2020-16156 │ HIGH │ 5.28.1-6+deb10u1 │ │ perl-CPAN: Bypass of verification of signatures in CHECKSUMS │ +│ │ │ │ │ │ files │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-16156 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2011-4116 │ LOW │ │ │ perl: File::Temp insecure temporary file handling │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-4116 │ +├──────────────────────┼──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ perl-base │ CVE-2020-16156 │ HIGH │ │ │ perl-CPAN: Bypass of verification of signatures in CHECKSUMS │ +│ │ │ │ │ │ files │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-16156 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2011-4116 │ LOW │ │ │ perl: File::Temp insecure temporary file handling │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-4116 │ +├──────────────────────┼──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ perl-modules-5.28 │ CVE-2020-16156 │ HIGH │ │ │ perl-CPAN: Bypass of verification of signatures in CHECKSUMS │ +│ │ │ │ │ │ files │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-16156 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2011-4116 │ LOW │ │ │ perl: File::Temp insecure temporary file handling │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-4116 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ python │ CVE-2008-4108 │ │ 2.7.16-1 │ │ python: Generic FAQ wizard moving tool insecure auxiliary │ +│ │ │ │ │ │ /tmp file usage (symlink... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2008-4108 │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ python-minimal │ │ │ │ │ │ +│ │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ python2 │ │ │ │ │ │ +│ │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┤ │ │ ├─────────────────┤ │ +│ python2-minimal │ │ │ │ │ │ +│ │ │ │ │ │ │ +│ │ │ │ │ │ │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ python2.7 │ CVE-2015-20107 │ CRITICAL │ 2.7.16-2+deb10u1 │ │ python(mailcap): findmatch() function does not sanitise the │ +│ │ │ │ │ │ second argument │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-20107 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-3177 │ │ │ │ python: Stack-based buffer overflow in PyCArg_repr in │ +│ │ │ │ │ │ _ctypes/callproc.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3177 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-23336 │ MEDIUM │ │ │ python: Web cache poisoning via urllib.parse.parse_qsl and │ +│ │ │ │ │ │ urllib.parse.parse_qs by using a semicolon... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-23336 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-4189 │ │ │ │ python: ftplib should not use the host from the PASV │ +│ │ │ │ │ │ response │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4189 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2013-7040 │ LOW │ │ │ python: hash secret can be recovered remotely │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-7040 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-17522 │ │ │ │ python: Command injection in Lib/webbrowser.py │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17522 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-18348 │ │ │ │ python: CRLF injection via the host part of the url passed │ +│ │ │ │ │ │ to... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-18348 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-20907 │ │ │ │ python: infinite loop in the tarfile module via crafted TAR │ +│ │ │ │ │ │ archive │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20907 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-9674 │ │ │ │ python: Nested zip file (Zip bomb) vulnerability in │ +│ │ │ │ │ │ Lib/zipfile.py │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9674 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-8492 │ │ │ │ python: wrong backtracking in │ +│ │ │ │ │ │ urllib.request.AbstractBasicAuthHandler allows for a ReDoS │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8492 │ +├──────────────────────┼──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ python2.7-minimal │ CVE-2015-20107 │ CRITICAL │ │ │ python(mailcap): findmatch() function does not sanitise the │ +│ │ │ │ │ │ second argument │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-20107 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-3177 │ │ │ │ python: Stack-based buffer overflow in PyCArg_repr in │ +│ │ │ │ │ │ _ctypes/callproc.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3177 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-23336 │ MEDIUM │ │ │ python: Web cache poisoning via urllib.parse.parse_qsl and │ +│ │ │ │ │ │ urllib.parse.parse_qs by using a semicolon... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-23336 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-4189 │ │ │ │ python: ftplib should not use the host from the PASV │ +│ │ │ │ │ │ response │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4189 │ +│ ├──────────────────┼──────────┤ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2013-7040 │ LOW │ │ │ python: hash secret can be recovered remotely │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-7040 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2017-17522 │ │ │ │ python: Command injection in Lib/webbrowser.py │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17522 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-18348 │ │ │ │ python: CRLF injection via the host part of the url passed │ +│ │ │ │ │ │ to... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-18348 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-20907 │ │ │ │ python: infinite loop in the tarfile module via crafted TAR │ +│ │ │ │ │ │ archive │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-20907 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-9674 │ │ │ │ python: Nested zip file (Zip bomb) vulnerability in │ +│ │ │ │ │ │ Lib/zipfile.py │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9674 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-8492 │ │ │ │ python: wrong backtracking in │ +│ │ │ │ │ │ urllib.request.AbstractBasicAuthHandler allows for a ReDoS │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8492 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ tar │ CVE-2005-2541 │ │ 1.30+dfsg-6 │ │ tar: does not properly warn the user when extracting setuid │ +│ │ │ │ │ │ or setgid... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2005-2541 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2019-9923 │ │ │ │ tar: null-pointer dereference in pax_decode_header in │ +│ │ │ │ │ │ sparse.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9923 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-20193 │ │ │ │ tar: Memory leak in read_header() in list.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20193 │ +├──────────────────────┼──────────────────┤ ├─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ util-linux │ CVE-2021-37600 │ │ 2.33.1-0.1 │ │ util-linux: integer overflow can lead to buffer overflow in │ +│ │ │ │ │ │ get_sem_elements() in sys-utils/ipcutils.c... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-37600 │ +│ ├──────────────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-0563 │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ +│ │ │ │ │ │ and chsh when compiled... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ +├──────────────────────┼──────────────────┼──────────┼─────────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ +│ zlib1g │ CVE-2022-37434 │ CRITICAL │ 1:1.2.11.dfsg-1+deb10u1 │ │ zlib: a heap-based buffer over-read or buffer overflow in │ +│ │ │ │ │ │ inflate in inflate.c... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-37434 │ +└──────────────────────┴──────────────────┴──────────┴─────────────────────────┴─────────────────┴──────────────────────────────────────────────────────────────┘ +2022-08-16T16:19:58.760+0200 INFO Table result includes only package filenames. Use '--format json' option to get the full path to the package file. + +Python (python-pkg) + +Total: 25 (UNKNOWN: 0, LOW: 1, MEDIUM: 11, HIGH: 7, CRITICAL: 6) + +┌────────────────────────┬─────────────────────┬──────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐ +│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │ +├────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ Babel (METADATA) │ CVE-2021-42771 │ HIGH │ 2.6.0 │ 2.9.1 │ CVE-2021-20095 CVE-2021-42771 python-babel: Relative path │ +│ │ │ │ │ │ traversal allows attacker to load arbitrary locale... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-42771 │ +├────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ Jinja2 (METADATA) │ CVE-2020-28493 │ MEDIUM │ 2.11.2 │ 2.11.3 │ python-jinja2: ReDoS vulnerability in the urlize filter │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-28493 │ +├────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ Pillow (METADATA) │ CVE-2021-25287 │ CRITICAL │ 8.1.1 │ 8.2.0 │ python-pillow: Out-of-bounds read in J2K image reader │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-25287 │ +│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-25288 │ │ │ │ python-pillow: Out-of-bounds read in J2K image reader │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-25288 │ +│ ├─────────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-34552 │ │ │ 8.3.0 │ python-pillow: Buffer overflow in image convert function │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-34552 │ +│ ├─────────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-22817 │ │ │ 9.0.0 │ python-pillow: PIL.ImageMath.eval allows evaluation of │ +│ │ │ │ │ │ arbitrary expressions │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22817 │ +│ ├─────────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-24303 │ │ │ 9.0.1 │ python-pillow: temporary directory with a space character │ +│ │ │ │ │ │ allows removal of unrelated file... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24303 │ +│ ├─────────────────────┼──────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-23437 │ HIGH │ │ 8.3.2 │ python-pillow: possible ReDoS via the getrgb function │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-23437 │ +│ ├─────────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-28676 │ │ │ 8.2.0 │ python-pillow: Infinite loop in FLI image reader │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-28676 │ +│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-28677 │ │ │ │ python-pillow: Excessive CPU use in EPS image reader │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-28677 │ +│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-28675 │ MEDIUM │ │ │ python-pillow: Excessive memory allocation in PSD image │ +│ │ │ │ │ │ reader │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-28675 │ +│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-28678 │ │ │ │ python-pillow: Excessive looping in BLP image reader │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-28678 │ +│ ├─────────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-22815 │ │ │ 9.0.0 │ python-pillow: improperly initializes ImagePath.Path in │ +│ │ │ │ │ │ path_getbbox() in path.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22815 │ +│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-22816 │ │ │ │ python-pillow: buffer over-read during initialization of │ +│ │ │ │ │ │ ImagePath.Path in path_getbbox() in path.c │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-22816 │ +│ ├─────────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────────┤ +│ │ GHSA-4fx9-vc88-q2xc │ LOW │ │ │ Infinite loop in Pillow │ +│ │ │ │ │ │ https://github.com/advisories/GHSA-4fx9-vc88-q2xc │ +├────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ PyPDF2 (METADATA) │ CVE-2022-24859 │ MEDIUM │ 1.26.0 │ 1.27.5 │ PyPDF2: infinite loop vulnerability │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24859 │ +├────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ Werkzeug (METADATA) │ CVE-2022-29361 │ CRITICAL │ 0.16.1 │ 2.1.1 │ ** DISPUTED ** Improper parsing of HTTP requests in Pallets │ +│ │ │ │ │ │ Werkzeug v2.1.0... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29361 │ +├────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ lxml (METADATA) │ CVE-2021-43818 │ HIGH │ 4.6.1 │ 4.6.5 │ python-lxml: HTML Cleaner allows crafted and SVG embedded │ +│ │ │ │ │ │ scripts to pass through... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-43818 │ +│ ├─────────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2022-2309 │ │ │ 4.9.1 │ lxml: NULL Pointer Dereference in lxml │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-2309 │ +│ ├─────────────────────┼──────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-27783 │ MEDIUM │ │ 4.6.2 │ python-lxml: mXSS due to the use of improper parser │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-27783 │ +│ ├─────────────────────┤ │ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2021-28957 │ │ │ 4.6.3 │ python-lxml: Missing input sanitization for formaction HTML5 │ +│ │ │ │ │ │ attributes may lead to XSS... │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-28957 │ +├────────────────────────┼─────────────────────┤ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ python-ldap (METADATA) │ CVE-2021-46823 │ │ 3.1.0 │ 3.4.0 │ python-ldap: Regular expression denial of service in LDAP │ +│ │ │ │ │ │ schema parser │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-46823 │ +│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ +│ │ GHSA-r8wq-qrxc-hmcm │ │ │ │ ReDoS in LDAP schema parser │ +│ │ │ │ │ │ https://github.com/advisories/GHSA-r8wq-qrxc-hmcm │ +├────────────────────────┼─────────────────────┼──────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤ +│ urllib3 (METADATA) │ CVE-2021-33503 │ HIGH │ 1.24.3 │ 1.26.5 │ python-urllib3: ReDoS in the parsing of authority part of │ +│ │ │ │ │ │ URL │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-33503 │ +│ ├─────────────────────┼──────────┤ ├───────────────┼──────────────────────────────────────────────────────────────┤ +│ │ CVE-2020-26137 │ MEDIUM │ │ 1.25.9 │ python-urllib3: CRLF injection via HTTP request method │ +│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-26137 │ +└────────────────────────┴─────────────────────┴──────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘ + +/opt/odoo/odoo/addons/point_of_sale/tools/posbox/overwrite_after_init/etc/ssl/private/nginx-cert.key (secrets) + +Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0) + +HIGH: AsymmetricPrivateKey (private-key) +═════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════ +Asymmetric Private Key +───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── + /opt/odoo/odoo/addons/point_of_sale/tools/posbox/overwrite_after_init/etc/ssl/private/nginx-cert.key:1 (deleted in the intermediate layer) +───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── + 1 [ -----BEGIN PRIVATE KEY-----*******************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************-----END PRIVATE KEY----- + 2 +─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────