Report Summary ┌──────────────────────────────────────────────────────────────────────────────────┬──────────┬─────────────────┬─────────┐ │ Target │ Type │ Vulnerabilities │ Secrets │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ gitlab.expertflow.com:9242/general/grafana:12.0.2-debian-12-r0 (debian 12.11) │ debian │ 292 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/opt/bitnami/grafana/public/app/plugins/datasource/azuremoni- │ node-pkg │ 0 │ - │ │ tor/package.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/opt/bitnami/grafana/public/app/plugins/datasource/cloud-mon- │ node-pkg │ 0 │ - │ │ itoring/package.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/opt/bitnami/grafana/public/app/plugins/datasource/grafana-p- │ node-pkg │ 0 │ - │ │ ostgresql-datasource/package.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/opt/bitnami/grafana/public/app/plugins/datasource/grafana-p- │ node-pkg │ 0 │ - │ │ yroscope-datasource/package.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/opt/bitnami/grafana/public/app/plugins/datasource/grafana-t- │ node-pkg │ 0 │ - │ │ estdata-datasource/package.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/opt/bitnami/grafana/public/app/plugins/datasource/jaeger/pa- │ node-pkg │ 0 │ - │ │ ckage.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/opt/bitnami/grafana/public/app/plugins/datasource/mssql/pac- │ node-pkg │ 0 │ - │ │ kage.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/opt/bitnami/grafana/public/app/plugins/datasource/mysql/pac- │ node-pkg │ 0 │ - │ │ kage.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/opt/bitnami/grafana/public/app/plugins/datasource/parca/pac- │ node-pkg │ 0 │ - │ │ kage.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/opt/bitnami/grafana/public/app/plugins/datasource/tempo/nod- │ node-pkg │ 0 │ - │ │ e_modules/@grafana/lezer-logql/package.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/opt/bitnami/grafana/public/app/plugins/datasource/tempo/pac- │ node-pkg │ 0 │ - │ │ kage.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/opt/bitnami/grafana/public/app/plugins/datasource/zipkin/pa- │ node-pkg │ 0 │ - │ │ ckage.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/public/app/plugins/datasource/azuremonitor/package.json │ node-pkg │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/public/app/plugins/datasource/cloud-monitoring/package.json │ node-pkg │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/public/app/plugins/datasource/grafana-postgresql-datasource- │ node-pkg │ 0 │ - │ │ /package.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/public/app/plugins/datasource/grafana-pyroscope-datasource/- │ node-pkg │ 0 │ - │ │ package.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/public/app/plugins/datasource/grafana-testdata-datasource/p- │ node-pkg │ 0 │ - │ │ ackage.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/public/app/plugins/datasource/jaeger/package.json │ node-pkg │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/public/app/plugins/datasource/mssql/package.json │ node-pkg │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/public/app/plugins/datasource/mysql/package.json │ node-pkg │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/public/app/plugins/datasource/parca/package.json │ node-pkg │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/public/app/plugins/datasource/tempo/node_modules/@grafana/l- │ node-pkg │ 0 │ - │ │ ezer-logql/package.json │ │ │ │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/public/app/plugins/datasource/tempo/package.json │ node-pkg │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/public/app/plugins/datasource/zipkin/package.json │ node-pkg │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/common │ bitnami │ 0 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/common/.spdx-ini-file.spdx │ gobinary │ 27 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/common/bin/ini-file │ gobinary │ 27 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana │ bitnami │ 8 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/.spdx-grafana.spdx │ gobinary │ 51 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/bin/grafana │ gobinary │ 53 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/bin/grafana-cli │ gobinary │ 29 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/grafana/bin/grafana-server │ gobinary │ 29 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ opt/bitnami/mysql │ bitnami │ 2 │ - │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ /opt/bitnami/grafana/public/app/features/provisioning/Config/ConfigForm.tsx │ text │ - │ 1 │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ /opt/bitnami/grafana/public/build/9521.6929674f55438051be0f.js │ text │ - │ 1 │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ /opt/bitnami/grafana/public/build/9521.6929674f55438051be0f.js.map │ text │ - │ 1 │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ /opt/bitnami/grafana/public/build/EditRepositoryPage.c319e59fb84fe9e910d8.js │ text │ - │ 1 │ ├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤ │ /opt/bitnami/grafana/public/build/EditRepositoryPage.c319e59fb84fe9e910d8.js.map │ text │ - │ 1 │ └──────────────────────────────────────────────────────────────────────────────────┴──────────┴─────────────────┴─────────┘ Legend: - '-': Not scanned - '0': Clean (no security findings detected) gitlab.expertflow.com:9242/general/grafana:12.0.2-debian-12-r0 (debian 12.11) ============================================================================= Total: 292 (UNKNOWN: 2, LOW: 133, MEDIUM: 103, HIGH: 48, CRITICAL: 6) ┌────────────────────┬─────────────────────┬──────────┬──────────────┬─────────────────────────┬─────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ apt │ CVE-2011-3374 │ LOW │ affected │ 2.6.1 │ │ It was found that apt-key in apt, all versions, do not │ │ │ │ │ │ │ │ correctly... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │ ├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ bash │ TEMP-0841856-B18BAF │ │ │ 5.2.15-2+b8 │ │ [Privilege escalation possible to other user than root] │ │ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0841856-B1- │ │ │ │ │ │ │ │ 8BAF │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ bsdutils │ CVE-2026-27456 │ MEDIUM │ │ 1:2.38.1-5+deb12u3 │ │ util-linux: TOCTOU in the mount program when setting up loop │ │ │ │ │ │ │ │ devices │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27456 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-0563 │ LOW │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ │ │ │ │ │ │ │ and chsh when compiled... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14104 │ │ │ │ │ util-linux: util-linux: Heap buffer overread in setpwnam() │ │ │ │ │ │ │ │ when processing 256-byte usernames │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14104 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3184 │ │ will_not_fix │ │ │ util-linux: util-linux: Access control bypass due to │ │ │ │ │ │ │ │ improper hostname canonicalization │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3184 │ ├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ coreutils │ CVE-2016-2781 │ │ │ 9.1-1 │ │ coreutils: Non-privileged session can escape to the parent │ │ │ │ │ │ │ │ session in chroot │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-2781 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2017-18018 │ │ affected │ │ │ coreutils: race condition vulnerability in chown and chgrp │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-18018 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-5278 │ │ │ │ │ coreutils: Heap Buffer Under-Read in GNU Coreutils sort via │ │ │ │ │ │ │ │ Key Specification │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-5278 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ curl │ CVE-2025-10148 │ MEDIUM │ will_not_fix │ 7.88.1-10+deb12u12 │ │ curl: predictable WebSocket mask │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-10148 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14524 │ │ affected │ │ │ curl: Information disclosure via cross-protocol redirect │ │ │ │ │ │ │ │ with OAuth2 bearer token │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14524 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14819 │ │ │ │ │ curl: libcurl: Improper certificate validation due to cached │ │ │ │ │ │ │ │ TLS settings reuse │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14819 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-1965 │ │ │ │ │ curl: curl: Authentication bypass due to incorrect │ │ │ │ │ │ │ │ connection reuse with Negotiate authentication... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1965 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3783 │ │ │ │ │ curl: curl: Information disclosure via OAuth2 bearer token │ │ │ │ │ │ │ │ leakage during HTTP(S) redirect... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3783 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3784 │ │ │ │ │ curl: curl: Unauthorized access due to improper HTTP proxy │ │ │ │ │ │ │ │ connection reuse │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3784 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-2379 │ LOW │ │ │ │ curl: QUIC certificate check bypass with wolfSSL │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2379 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-0725 │ │ │ │ │ libcurl: Buffer Overflow in libcurl via zlib Integer │ │ │ │ │ │ │ │ Overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-0725 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-10966 │ │ │ │ │ curl: Curl missing SFTP host verification with wolfSSH │ │ │ │ │ │ │ │ backend │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-10966 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14017 │ │ │ │ │ curl: curl: Security bypass due to global TLS option changes │ │ │ │ │ │ │ │ in multi-threaded... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14017 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-15079 │ │ │ │ │ curl: Host verification bypass during SSH transfers │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-15079 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-15224 │ │ │ │ │ curl: libssh key passphrase bypass without agent set │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-15224 │ ├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ dpkg │ CVE-2025-6297 │ │ │ 1.21.22 │ │ It was discovered that dpkg-deb does not properly sanitize │ │ │ │ │ │ │ │ directory p ...... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6297 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-2219 │ UNKNOWN │ │ │ │ It was discovered that dpkg-deb (a component of dpkg, the │ │ │ │ │ │ │ │ Debian packa... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-2219 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ gcc-12-base │ CVE-2022-27943 │ LOW │ │ 12.2.0-14+deb12u1 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │ │ │ │ │ │ │ │ stack exhaustion in demangle_const │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ gpgv │ CVE-2025-68973 │ HIGH │ fixed │ 2.2.40-1.1 │ 2.2.40-1.1+deb12u2 │ GnuPG: GnuPG: Information disclosure and potential arbitrary │ │ │ │ │ │ │ │ code execution via out-of-bounds write... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-68973 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-30258 │ MEDIUM │ affected │ │ │ gnupg: verification DoS due to a malicious subkey in the │ │ │ │ │ │ │ │ keyring │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-30258 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-68972 │ │ │ │ │ gnupg: GnuPG: Signature bypass via form feed character in │ │ │ │ │ │ │ │ signed messages │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-68972 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-3219 │ LOW │ │ │ │ gnupg: denial of service issue (resource consumption) using │ │ │ │ │ │ │ │ compressed packets │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3219 │ ├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libapt-pkg6.0 │ CVE-2011-3374 │ │ │ 2.6.1 │ │ It was found that apt-key in apt, all versions, do not │ │ │ │ │ │ │ │ correctly... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libblkid1 │ CVE-2026-27456 │ MEDIUM │ │ 2.38.1-5+deb12u3 │ │ util-linux: TOCTOU in the mount program when setting up loop │ │ │ │ │ │ │ │ devices │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27456 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-0563 │ LOW │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ │ │ │ │ │ │ │ and chsh when compiled... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14104 │ │ │ │ │ util-linux: util-linux: Heap buffer overread in setpwnam() │ │ │ │ │ │ │ │ when processing 256-byte usernames │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14104 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3184 │ │ will_not_fix │ │ │ util-linux: util-linux: Access control bypass due to │ │ │ │ │ │ │ │ improper hostname canonicalization │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3184 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libc-bin │ CVE-2025-4802 │ HIGH │ fixed │ 2.36-9+deb12u10 │ 2.36-9+deb12u11 │ glibc: static setuid binary dlopen may incorrectly search │ │ │ │ │ │ │ │ LD_LIBRARY_PATH │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-4802 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-0861 │ │ affected │ │ │ glibc: Integer overflow in memalign leads to heap corruption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-0861 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-15281 │ MEDIUM │ │ │ │ glibc: wordexp with WRDE_REUSE and WRDE_APPEND may return │ │ │ │ │ │ │ │ uninitialized memory │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-15281 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-8058 │ │ fixed │ │ 2.36-9+deb12u13 │ glibc: Double free in glibc │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8058 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-0915 │ │ affected │ │ │ glibc: glibc: Information disclosure via zero-valued network │ │ │ │ │ │ │ │ query │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-0915 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-4046 │ │ fix_deferred │ │ │ glibc: glibc: Denial of Service via iconv() function with │ │ │ │ │ │ │ │ specific character sets... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4046 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-4437 │ │ affected │ │ │ glibc: glibc: Incorrect DNS response parsing via crafted DNS │ │ │ │ │ │ │ │ server response │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4437 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-4438 │ │ │ │ │ glibc: glibc: Invalid DNS hostname returned via │ │ │ │ │ │ │ │ gethostbyaddr functions │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4438 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2010-4756 │ LOW │ │ │ │ glibc: glob implementation can cause excessive CPU and │ │ │ │ │ │ │ │ memory consumption due to... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2018-20796 │ │ │ │ │ glibc: uncontrolled recursion in function │ │ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-1010022 │ │ │ │ │ glibc: stack guard protection bypass │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-1010023 │ │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │ │ │ │ │ │ │ │ because of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-1010024 │ │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-1010025 │ │ │ │ │ glibc: information disclosure of heap addresses of │ │ │ │ │ │ │ │ pthread_created thread │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-9192 │ │ │ │ │ glibc: uncontrolled recursion in function │ │ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libc6 │ CVE-2025-4802 │ HIGH │ fixed │ │ 2.36-9+deb12u11 │ glibc: static setuid binary dlopen may incorrectly search │ │ │ │ │ │ │ │ LD_LIBRARY_PATH │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-4802 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-0861 │ │ affected │ │ │ glibc: Integer overflow in memalign leads to heap corruption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-0861 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-15281 │ MEDIUM │ │ │ │ glibc: wordexp with WRDE_REUSE and WRDE_APPEND may return │ │ │ │ │ │ │ │ uninitialized memory │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-15281 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-8058 │ │ fixed │ │ 2.36-9+deb12u13 │ glibc: Double free in glibc │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8058 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-0915 │ │ affected │ │ │ glibc: glibc: Information disclosure via zero-valued network │ │ │ │ │ │ │ │ query │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-0915 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-4046 │ │ fix_deferred │ │ │ glibc: glibc: Denial of Service via iconv() function with │ │ │ │ │ │ │ │ specific character sets... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4046 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-4437 │ │ affected │ │ │ glibc: glibc: Incorrect DNS response parsing via crafted DNS │ │ │ │ │ │ │ │ server response │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4437 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-4438 │ │ │ │ │ glibc: glibc: Invalid DNS hostname returned via │ │ │ │ │ │ │ │ gethostbyaddr functions │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4438 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2010-4756 │ LOW │ │ │ │ glibc: glob implementation can cause excessive CPU and │ │ │ │ │ │ │ │ memory consumption due to... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-4756 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2018-20796 │ │ │ │ │ glibc: uncontrolled recursion in function │ │ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-20796 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-1010022 │ │ │ │ │ glibc: stack guard protection bypass │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010022 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-1010023 │ │ │ │ │ glibc: running ldd on malicious ELF leads to code execution │ │ │ │ │ │ │ │ because of... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010023 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-1010024 │ │ │ │ │ glibc: ASLR bypass using cache of thread stack and heap │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010024 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-1010025 │ │ │ │ │ glibc: information disclosure of heap addresses of │ │ │ │ │ │ │ │ pthread_created thread │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-1010025 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2019-9192 │ │ │ │ │ glibc: uncontrolled recursion in function │ │ │ │ │ │ │ │ check_dst_limits_calc_pos_1 in posix/regexec.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-9192 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libcap2 │ CVE-2026-4878 │ MEDIUM │ │ 1:2.66-4+deb12u1 │ │ libcap: libcap: Privilege escalation via TOCTOU race │ │ │ │ │ │ │ │ condition in cap_set_file() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4878 │ ├────────────────────┼─────────────────────┤ ├──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libcurl4 │ CVE-2025-10148 │ │ will_not_fix │ 7.88.1-10+deb12u12 │ │ curl: predictable WebSocket mask │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-10148 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14524 │ │ affected │ │ │ curl: Information disclosure via cross-protocol redirect │ │ │ │ │ │ │ │ with OAuth2 bearer token │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14524 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14819 │ │ │ │ │ curl: libcurl: Improper certificate validation due to cached │ │ │ │ │ │ │ │ TLS settings reuse │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14819 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-1965 │ │ │ │ │ curl: curl: Authentication bypass due to incorrect │ │ │ │ │ │ │ │ connection reuse with Negotiate authentication... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1965 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3783 │ │ │ │ │ curl: curl: Information disclosure via OAuth2 bearer token │ │ │ │ │ │ │ │ leakage during HTTP(S) redirect... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3783 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3784 │ │ │ │ │ curl: curl: Unauthorized access due to improper HTTP proxy │ │ │ │ │ │ │ │ connection reuse │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3784 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-2379 │ LOW │ │ │ │ curl: QUIC certificate check bypass with wolfSSL │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2379 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-0725 │ │ │ │ │ libcurl: Buffer Overflow in libcurl via zlib Integer │ │ │ │ │ │ │ │ Overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-0725 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-10966 │ │ │ │ │ curl: Curl missing SFTP host verification with wolfSSH │ │ │ │ │ │ │ │ backend │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-10966 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14017 │ │ │ │ │ curl: curl: Security bypass due to global TLS option changes │ │ │ │ │ │ │ │ in multi-threaded... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14017 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-15079 │ │ │ │ │ curl: Host verification bypass during SSH transfers │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-15079 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-15224 │ │ │ │ │ curl: libssh key passphrase bypass without agent set │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-15224 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libexpat1 │ CVE-2023-52425 │ HIGH │ fixed │ 2.5.0-1+deb12u1 │ 2.5.0-1+deb12u2 │ expat: parsing large tokens can trigger a denial of service │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-52425 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-8176 │ │ │ │ │ libexpat: expat: Improper Restriction of XML Entity │ │ │ │ │ │ │ │ Expansion Depth in libexpat │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-8176 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-25210 │ │ affected │ │ │ libexpat: libexpat: Information disclosure and data │ │ │ │ │ │ │ │ integrity issues due to integer overflow... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25210 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-50602 │ MEDIUM │ fixed │ │ 2.5.0-1+deb12u2 │ libexpat: expat: DoS via XML_ResumeParser │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-50602 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-59375 │ │ will_not_fix │ │ │ firefox: thunderbird: expat: libexpat in Expat allows │ │ │ │ │ │ │ │ attackers to trigger large dynamic... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-59375 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-66382 │ │ fix_deferred │ │ │ libexpat: libexpat: Denial of service via crafted file │ │ │ │ │ │ │ │ processing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-66382 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32776 │ │ affected │ │ │ libexpat: libexpat: Denial of Service due to NULL pointer │ │ │ │ │ │ │ │ dereference │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32776 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32777 │ │ │ │ │ libexpat: libexpat: Denial of Service via infinite loop in │ │ │ │ │ │ │ │ DTD content parsing... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32777 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32778 │ │ │ │ │ libexpat: libexpat: Denial of Service via NULL pointer │ │ │ │ │ │ │ │ dereference after out-of-memory condition... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32778 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-52426 │ LOW │ │ │ │ expat: recursive XML entity expansion vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-52426 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-28757 │ │ │ │ │ expat: XML Entity Expansion │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28757 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-24515 │ │ │ │ │ libexpat: libexpat null pointer dereference │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-24515 │ ├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libgcc-s1 │ CVE-2022-27943 │ │ │ 12.2.0-14+deb12u1 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │ │ │ │ │ │ │ │ stack exhaustion in demangle_const │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │ ├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libgcrypt20 │ CVE-2018-6829 │ │ │ 1.10.1-3 │ │ libgcrypt: ElGamal implementation doesn't have semantic │ │ │ │ │ │ │ │ security due to incorrectly encoded plaintexts... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-6829 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-2236 │ │ │ │ │ libgcrypt: vulnerable to Marvin Attack │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-2236 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libgnutls30 │ CVE-2025-32988 │ HIGH │ fixed │ 3.7.9-2+deb12u4 │ 3.7.9-2+deb12u5 │ gnutls: Vulnerability in GnuTLS otherName SAN export │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-32988 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-32990 │ │ │ │ │ gnutls: Vulnerability in GnuTLS certtool template parsing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-32990 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14831 │ MEDIUM │ │ │ 3.7.9-2+deb12u6 │ gnutls: GnuTLS: Denial of Service via excessive resource │ │ │ │ │ │ │ │ consumption during certificate verification... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14831 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-32989 │ │ │ │ 3.7.9-2+deb12u5 │ gnutls: Vulnerability in GnuTLS SCT extension parsing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-32989 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-6395 │ │ │ │ │ gnutls: NULL pointer dereference in │ │ │ │ │ │ │ │ _gnutls_figure_common_ciphersuite() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6395 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-9820 │ │ │ │ 3.7.9-2+deb12u6 │ gnutls: Stack-based Buffer Overflow in │ │ │ │ │ │ │ │ gnutls_pkcs11_token_init() Function │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9820 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2011-3389 │ LOW │ affected │ │ │ HTTPS: block-wise chosen-plaintext attack against SSL/TLS │ │ │ │ │ │ │ │ (BEAST) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3389 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libgssapi-krb5-2 │ CVE-2025-3576 │ MEDIUM │ fixed │ 1.20.1-2+deb12u3 │ 1.20.1-2+deb12u4 │ krb5: Kerberos RC4-HMAC-MD5 Checksum Vulnerability Enabling │ │ │ │ │ │ │ │ Message Spoofing via MD5 Collisions │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-3576 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2018-5709 │ LOW │ affected │ │ │ krb5: integer overflow in dbentry->n_key_data in │ │ │ │ │ │ │ │ kadmin/dbutil/dump.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-26458 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libicu72 │ CVE-2025-5222 │ HIGH │ fixed │ 72.1-3 │ 72.1-3+deb12u1 │ icu: Stack buffer overflow in the SRBRoot::addTag function │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-5222 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libk5crypto3 │ CVE-2025-3576 │ MEDIUM │ │ 1.20.1-2+deb12u3 │ 1.20.1-2+deb12u4 │ krb5: Kerberos RC4-HMAC-MD5 Checksum Vulnerability Enabling │ │ │ │ │ │ │ │ Message Spoofing via MD5 Collisions │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-3576 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2018-5709 │ LOW │ affected │ │ │ krb5: integer overflow in dbentry->n_key_data in │ │ │ │ │ │ │ │ kadmin/dbutil/dump.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-26458 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libkrb5-3 │ CVE-2025-3576 │ MEDIUM │ fixed │ │ 1.20.1-2+deb12u4 │ krb5: Kerberos RC4-HMAC-MD5 Checksum Vulnerability Enabling │ │ │ │ │ │ │ │ Message Spoofing via MD5 Collisions │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-3576 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2018-5709 │ LOW │ affected │ │ │ krb5: integer overflow in dbentry->n_key_data in │ │ │ │ │ │ │ │ kadmin/dbutil/dump.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-26458 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libkrb5support0 │ CVE-2025-3576 │ MEDIUM │ fixed │ │ 1.20.1-2+deb12u4 │ krb5: Kerberos RC4-HMAC-MD5 Checksum Vulnerability Enabling │ │ │ │ │ │ │ │ Message Spoofing via MD5 Collisions │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-3576 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2018-5709 │ LOW │ affected │ │ │ krb5: integer overflow in dbentry->n_key_data in │ │ │ │ │ │ │ │ kadmin/dbutil/dump.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-5709 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-26458 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/rpc/pmap_rmt.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26458 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-26461 │ │ │ │ │ krb5: Memory leak at /krb5/src/lib/gssapi/krb5/k5sealv3.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-26461 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libldap-2.5-0 │ CVE-2023-2953 │ HIGH │ │ 2.5.13+dfsg-5 │ │ openldap: null pointer dereference in ber_memalloc_x │ │ │ │ │ │ │ │ function │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-2953 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2015-3276 │ LOW │ │ │ │ openldap: incorrect multi-keyword mode cipherstring parsing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-3276 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2017-14159 │ │ │ │ │ openldap: Privilege escalation via PID file manipulation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-14159 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2017-17740 │ │ │ │ │ openldap: contrib/slapd-modules/nops/nops.c attempts to free │ │ │ │ │ │ │ │ stack buffer allowing remote attackers to cause... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2017-17740 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-15719 │ │ │ │ │ openldap: Certificate validation incorrectly matches name │ │ │ │ │ │ │ │ against CN-ID │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-15719 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-22185 │ │ │ │ │ OpenLDAP: OpenLDAP LMDB: Denial of Service and Information │ │ │ │ │ │ │ │ Disclosure via Heap Buffer... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22185 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ liblzma5 │ CVE-2026-34743 │ MEDIUM │ │ 5.4.1-1 │ │ xz: XZ Utils: Denial of Service via buffer overflow in index │ │ │ │ │ │ │ │ decoding... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34743 │ ├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libmount1 │ CVE-2026-27456 │ │ │ 2.38.1-5+deb12u3 │ │ util-linux: TOCTOU in the mount program when setting up loop │ │ │ │ │ │ │ │ devices │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27456 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-0563 │ LOW │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ │ │ │ │ │ │ │ and chsh when compiled... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14104 │ │ │ │ │ util-linux: util-linux: Heap buffer overread in setpwnam() │ │ │ │ │ │ │ │ when processing 256-byte usernames │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14104 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3184 │ │ will_not_fix │ │ │ util-linux: util-linux: Access control bypass due to │ │ │ │ │ │ │ │ improper hostname canonicalization │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3184 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libncurses6 │ CVE-2025-69720 │ HIGH │ affected │ 6.4-4 │ │ ncurses: ncurses: Buffer overflow vulnerability may lead to │ │ │ │ │ │ │ │ arbitrary code execution. │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69720 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-50495 │ MEDIUM │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-6141 │ LOW │ │ │ │ gnu-ncurses: ncurses Stack Buffer Overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6141 │ ├────────────────────┼─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libncursesw6 │ CVE-2025-69720 │ HIGH │ │ │ │ ncurses: ncurses: Buffer overflow vulnerability may lead to │ │ │ │ │ │ │ │ arbitrary code execution. │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69720 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-50495 │ MEDIUM │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-6141 │ LOW │ │ │ │ gnu-ncurses: ncurses Stack Buffer Overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6141 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libnghttp2-14 │ CVE-2026-27135 │ HIGH │ │ 1.52.0-1+deb12u2 │ │ nghttp2: nghttp2: Denial of Service via malformed HTTP/2 │ │ │ │ │ │ │ │ frames after session termination... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27135 │ ├────────────────────┼─────────────────────┤ ├──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libpam-modules │ CVE-2025-6020 │ │ fixed │ 1.5.2-6+deb12u1 │ 1.5.2-6+deb12u2 │ linux-pam: Linux-pam directory Traversal │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6020 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-10041 │ MEDIUM │ will_not_fix │ │ │ pam: libpam: Libpam vulnerable to read hashed password │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-10041 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-22365 │ │ fixed │ │ 1.5.2-6+deb12u2 │ pam: allowing unprivileged user to block another user │ │ │ │ │ │ │ │ namespace │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22365 │ ├────────────────────┼─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ libpam-modules-bin │ CVE-2025-6020 │ HIGH │ │ │ │ linux-pam: Linux-pam directory Traversal │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6020 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-10041 │ MEDIUM │ will_not_fix │ │ │ pam: libpam: Libpam vulnerable to read hashed password │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-10041 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-22365 │ │ fixed │ │ 1.5.2-6+deb12u2 │ pam: allowing unprivileged user to block another user │ │ │ │ │ │ │ │ namespace │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22365 │ ├────────────────────┼─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ libpam-runtime │ CVE-2025-6020 │ HIGH │ │ │ │ linux-pam: Linux-pam directory Traversal │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6020 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-10041 │ MEDIUM │ will_not_fix │ │ │ pam: libpam: Libpam vulnerable to read hashed password │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-10041 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-22365 │ │ fixed │ │ 1.5.2-6+deb12u2 │ pam: allowing unprivileged user to block another user │ │ │ │ │ │ │ │ namespace │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22365 │ ├────────────────────┼─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ libpam0g │ CVE-2025-6020 │ HIGH │ │ │ │ linux-pam: Linux-pam directory Traversal │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6020 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-10041 │ MEDIUM │ will_not_fix │ │ │ pam: libpam: Libpam vulnerable to read hashed password │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-10041 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-22365 │ │ fixed │ │ 1.5.2-6+deb12u2 │ pam: allowing unprivileged user to block another user │ │ │ │ │ │ │ │ namespace │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22365 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libperl5.36 │ CVE-2023-31484 │ HIGH │ │ 5.36.0-7+deb12u2 │ 5.36.0-7+deb12u3 │ perl: CPAN.pm does not verify TLS certificates when │ │ │ │ │ │ │ │ downloading distributions over HTTPS... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31484 │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-40909 │ MEDIUM │ │ │ │ perl: Perl threads have a working directory race condition │ │ │ │ │ │ │ │ where file operations... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-40909 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2011-4116 │ LOW │ affected │ │ │ perl: File:: Temp insecure temporary file handling │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-4116 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-31486 │ │ │ │ │ http-tiny: perl: insecure TLS cert default │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31486 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libpng16-16 │ CVE-2025-64720 │ HIGH │ fixed │ 1.6.39-2 │ 1.6.39-2+deb12u1 │ libpng: LIBPNG buffer overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-64720 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-65018 │ │ │ │ │ libpng: LIBPNG heap buffer overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-65018 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-66293 │ │ │ │ │ libpng: LIBPNG out-of-bounds read in │ │ │ │ │ │ │ │ png_image_read_composite │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-66293 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-22695 │ │ │ │ 1.6.39-2+deb12u2 │ libpng: libpng: Denial of service and information disclosure │ │ │ │ │ │ │ │ via heap buffer over-read... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22695 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-22801 │ │ │ │ │ libpng: libpng: Information disclosure and denial of service │ │ │ │ │ │ │ │ via integer truncation in... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22801 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-25646 │ │ │ │ 1.6.39-2+deb12u3 │ libpng: LIBPNG has a heap buffer overflow in │ │ │ │ │ │ │ │ png_set_quantize │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25646 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-33416 │ │ │ │ 1.6.39-2+deb12u4 │ libpng: libpng: Arbitrary code execution due to │ │ │ │ │ │ │ │ use-after-free vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-33416 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-33636 │ │ │ │ │ libpng: libpng: Information disclosure and denial of service │ │ │ │ │ │ │ │ via out-of-bounds read/write in... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-33636 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-64505 │ MEDIUM │ │ │ 1.6.39-2+deb12u1 │ libpng: LIBPNG heap buffer overflow via malformed palette │ │ │ │ │ │ │ │ index │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-64505 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-64506 │ │ │ │ │ libpng: LIBPNG heap buffer over-read │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-64506 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34757 │ │ affected │ │ │ libpng: libpng: Information disclosure and data corruption │ │ │ │ │ │ │ │ via use-after-free vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34757 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-4214 │ LOW │ │ │ │ libpng: hardcoded value leads to heap-overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-4214 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-28162 │ │ │ │ │ libpng: libpng: Denial of Service via buffer overflow in │ │ │ │ │ │ │ │ pngimage utility │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-28162 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-28164 │ │ │ │ │ libpng: libpng: Denial of Service via buffer overflow in │ │ │ │ │ │ │ │ png_create_read_struct() function │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-28164 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3713 │ │ │ │ │ libpng: libpng: Heap-based buffer overflow in pnm2png allows │ │ │ │ │ │ │ │ information disclosure and denial... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3713 │ ├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libproc2-0 │ CVE-2023-4016 │ │ │ 2:4.0.2-3 │ │ procps: ps buffer overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4016 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libsmartcols1 │ CVE-2026-27456 │ MEDIUM │ │ 2.38.1-5+deb12u3 │ │ util-linux: TOCTOU in the mount program when setting up loop │ │ │ │ │ │ │ │ devices │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27456 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-0563 │ LOW │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ │ │ │ │ │ │ │ and chsh when compiled... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14104 │ │ │ │ │ util-linux: util-linux: Heap buffer overread in setpwnam() │ │ │ │ │ │ │ │ when processing 256-byte usernames │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14104 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3184 │ │ will_not_fix │ │ │ util-linux: util-linux: Access control bypass due to │ │ │ │ │ │ │ │ improper hostname canonicalization │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3184 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libssl3 │ CVE-2025-15467 │ CRITICAL │ fixed │ 3.0.16-1~deb12u1 │ 3.0.18-1~deb12u2 │ openssl: OpenSSL: Remote code execution or Denial of Service │ │ │ │ │ │ │ │ via oversized Initialization... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-15467 │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-69419 │ HIGH │ │ │ │ openssl: OpenSSL: Arbitrary code execution due to │ │ │ │ │ │ │ │ out-of-bounds write in PKCS#12 processing... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69419 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-69421 │ │ │ │ │ openssl: OpenSSL: Denial of Service via malformed PKCS#12 │ │ │ │ │ │ │ │ file processing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69421 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28390 │ │ │ │ 3.0.19-1~deb12u2 │ openssl: OpenSSL: Denial of Service due to NULL pointer │ │ │ │ │ │ │ │ dereference in CMS... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28390 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-68160 │ MEDIUM │ │ │ 3.0.18-1~deb12u2 │ openssl: OpenSSL: Denial of Service due to out-of-bounds │ │ │ │ │ │ │ │ write in BIO filter... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-68160 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-69418 │ │ │ │ │ openssl: OpenSSL: Information disclosure and data tampering │ │ │ │ │ │ │ │ via specific low-level OCB encryption/decryption... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69418 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-69420 │ │ │ │ │ openssl: OpenSSL: Denial of Service via malformed TimeStamp │ │ │ │ │ │ │ │ Response │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69420 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-9230 │ │ │ │ 3.0.17-1~deb12u3 │ openssl: Out-of-bounds read & write in RFC 3211 KEK Unwrap │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9230 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-22795 │ │ │ │ 3.0.18-1~deb12u2 │ openssl: OpenSSL: Denial of Service due to type confusion in │ │ │ │ │ │ │ │ PKCS#12 file... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22795 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-22796 │ │ │ │ │ openssl: OpenSSL: Denial of Service via type confusion in │ │ │ │ │ │ │ │ PKCS#7 signature verification... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22796 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28388 │ │ │ │ 3.0.19-1~deb12u2 │ openssl: OpenSSL: Denial of Service due to NULL pointer │ │ │ │ │ │ │ │ dereference in delta... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28388 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28389 │ │ │ │ │ openssl: OpenSSL: Denial of Service vulnerability in CMS │ │ │ │ │ │ │ │ processing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28389 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-31789 │ │ │ │ │ openssl: OpenSSL: Heap buffer overflow on 32-bit systems │ │ │ │ │ │ │ │ from large X.509 certificate... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-31789 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-31790 │ │ │ │ │ openssl: openssl: Information Disclosure from Uninitialized │ │ │ │ │ │ │ │ Memory via Invalid RSA Public Key... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-31790 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-27587 │ LOW │ affected │ │ │ OpenSSL 3.0.0 through 3.3.2 on the PowerPC architecture is │ │ │ │ │ │ │ │ vulnerable ...... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-27587 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-9232 │ │ fixed │ │ 3.0.17-1~deb12u3 │ openssl: Out-of-bounds read in HTTP client no_proxy handling │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9232 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28387 │ │ │ │ 3.0.19-1~deb12u2 │ openssl: OpenSSL: Arbitrary code execution due to │ │ │ │ │ │ │ │ use-after-free in DANE TLSA authentication... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28387 │ ├────────────────────┼─────────────────────┤ ├──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libstdc++6 │ CVE-2022-27943 │ │ affected │ 12.2.0-14+deb12u1 │ │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows │ │ │ │ │ │ │ │ stack exhaustion in demangle_const │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-27943 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libsystemd0 │ CVE-2026-29111 │ HIGH │ │ 252.38-1~deb12u1 │ │ systemd: systemd: Arbitrary code execution or Denial of │ │ │ │ │ │ │ │ Service via spurious IPC... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-29111 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-40225 │ MEDIUM │ │ │ │ systemd: udev in systemd: Privilege escalation via malicious │ │ │ │ │ │ │ │ hardware devices and unsanitized... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-40225 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-40226 │ │ │ │ │ systemd: systemd nspawn: Escape-to-host action via crafted │ │ │ │ │ │ │ │ config file │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-40226 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-4105 │ │ │ │ │ systemd: systemd: Privilege escalation via improper access │ │ │ │ │ │ │ │ control in RegisterMachine D-Bus method... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4105 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2013-4392 │ LOW │ │ │ │ systemd: TOCTOU race condition when updating file │ │ │ │ │ │ │ │ permissions and SELinux security contexts... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-31437 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │ │ │ │ │ │ │ │ modify a... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31437 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-31438 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │ │ │ │ │ │ │ │ truncate a... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31438 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-31439 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │ │ │ │ │ │ │ │ modify the... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31439 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-40228 │ │ │ │ │ systemd: systemd-journald: Unintended output to user │ │ │ │ │ │ │ │ terminals via logger command │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-40228 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libtasn1-6 │ CVE-2025-13151 │ MEDIUM │ │ 4.19.0-2+deb12u1 │ │ libtasn1: libtasn1: Denial of Service via stack-based buffer │ │ │ │ │ │ │ │ overflow in asn1_expend_octet_string │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-13151 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libtinfo6 │ CVE-2025-69720 │ HIGH │ │ 6.4-4 │ │ ncurses: ncurses: Buffer overflow vulnerability may lead to │ │ │ │ │ │ │ │ arbitrary code execution. │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69720 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-50495 │ MEDIUM │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-6141 │ LOW │ │ │ │ gnu-ncurses: ncurses Stack Buffer Overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6141 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libudev1 │ CVE-2026-29111 │ HIGH │ │ 252.38-1~deb12u1 │ │ systemd: systemd: Arbitrary code execution or Denial of │ │ │ │ │ │ │ │ Service via spurious IPC... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-29111 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-40225 │ MEDIUM │ │ │ │ systemd: udev in systemd: Privilege escalation via malicious │ │ │ │ │ │ │ │ hardware devices and unsanitized... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-40225 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-40226 │ │ │ │ │ systemd: systemd nspawn: Escape-to-host action via crafted │ │ │ │ │ │ │ │ config file │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-40226 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-4105 │ │ │ │ │ systemd: systemd: Privilege escalation via improper access │ │ │ │ │ │ │ │ control in RegisterMachine D-Bus method... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4105 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2013-4392 │ LOW │ │ │ │ systemd: TOCTOU race condition when updating file │ │ │ │ │ │ │ │ permissions and SELinux security contexts... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4392 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-31437 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │ │ │ │ │ │ │ │ modify a... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31437 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-31438 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │ │ │ │ │ │ │ │ truncate a... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31438 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-31439 │ │ │ │ │ An issue was discovered in systemd 253. An attacker can │ │ │ │ │ │ │ │ modify the... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31439 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-40228 │ │ │ │ │ systemd: systemd-journald: Unintended output to user │ │ │ │ │ │ │ │ terminals via logger command │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-40228 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libuuid1 │ CVE-2026-27456 │ MEDIUM │ │ 2.38.1-5+deb12u3 │ │ util-linux: TOCTOU in the mount program when setting up loop │ │ │ │ │ │ │ │ devices │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27456 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-0563 │ LOW │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ │ │ │ │ │ │ │ and chsh when compiled... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14104 │ │ │ │ │ util-linux: util-linux: Heap buffer overread in setpwnam() │ │ │ │ │ │ │ │ when processing 256-byte usernames │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14104 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3184 │ │ will_not_fix │ │ │ util-linux: util-linux: Access control bypass due to │ │ │ │ │ │ │ │ improper hostname canonicalization │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3184 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ libxml2 │ CVE-2024-56171 │ CRITICAL │ fixed │ 2.9.14+dfsg-1.3~deb12u1 │ 2.9.14+dfsg-1.3~deb12u2 │ libxml2: Use-After-Free in libxml2 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-56171 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-49794 │ │ │ │ 2.9.14+dfsg-1.3~deb12u3 │ libxml: Heap use after free (UAF) leads to Denial of service │ │ │ │ │ │ │ │ (DoS)... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-49794 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-49796 │ │ │ │ │ libxml: Type confusion leads to Denial of service (DoS) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-49796 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-49043 │ HIGH │ │ │ 2.9.14+dfsg-1.3~deb12u2 │ libxml: use-after-free in xmlXIncludeAddNode │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-49043 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-25062 │ │ │ │ │ libxml2: use-after-free in XMLReader │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-25062 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-24928 │ │ │ │ │ libxml2: Stack-based buffer overflow in xmlSnprintfElements │ │ │ │ │ │ │ │ of libxml2 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-24928 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-27113 │ │ │ │ │ libxml2: NULL Pointer Dereference in libxml2 xmlPatMatch │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-27113 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-32414 │ │ │ │ │ libxml2: Out-of-Bounds Read in libxml2 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-32414 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-32415 │ │ │ │ │ libxml2: Out-of-bounds Read in xmlSchemaIDCFillNodeTables │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-32415 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-6021 │ │ │ │ 2.9.14+dfsg-1.3~deb12u3 │ libxml2: Integer Overflow in xmlBuildQName() Leads to Stack │ │ │ │ │ │ │ │ Buffer Overflow in libxml2... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6021 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-39615 │ MEDIUM │ │ │ 2.9.14+dfsg-1.3~deb12u2 │ libxml2: crafted xml can cause global buffer overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39615 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-45322 │ │ │ │ │ libxml2: use-after-free in xmlUnlinkNode() in tree.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45322 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-34459 │ │ │ │ │ libxml2: buffer over-read in xmlHTMLPrintFileContext in │ │ │ │ │ │ │ │ xmllint.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34459 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-9714 │ │ │ │ 2.9.14+dfsg-1.3~deb12u5 │ libxslt: libxml2: Inifinite recursion at exsltDynMapFunction │ │ │ │ │ │ │ │ function in libexslt/dynamic.c │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9714 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-0990 │ │ affected │ │ │ libxml2: libxml2: Denial of Service via uncontrolled │ │ │ │ │ │ │ │ recursion in XML catalog processing... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-0990 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-6170 │ LOW │ fixed │ │ 2.9.14+dfsg-1.3~deb12u3 │ libxml2: Stack Buffer Overflow in xmllint Interactive Shell │ │ │ │ │ │ │ │ Command Handling │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6170 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-8732 │ │ affected │ │ │ libxml2: libxml2: Uncontrolled Recursion Vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8732 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-0989 │ │ │ │ │ libxml2: Unbounded RelaxNG Include Recursion Leading to │ │ │ │ │ │ │ │ Stack Overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-0989 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-0992 │ │ │ │ │ libxml2: libxml2: Denial of Service via crafted XML catalogs │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-0992 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-1757 │ │ │ │ │ libxml2: Memory Leak Leading to Local Denial of Service in │ │ │ │ │ │ │ │ xmllint Interactive... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1757 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ DSA-5990-1 │ UNKNOWN │ fixed │ │ 2.9.14+dfsg-1.3~deb12u4 │ libxml2 - security update │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ login │ CVE-2007-5686 │ LOW │ affected │ 1:4.13+dfsg1-1+deb12u1 │ │ initscripts in rPath Linux 1 sets insecure permissions for │ │ │ │ │ │ │ │ the /var/lo ...... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-56433 │ │ │ │ │ shadow-utils: Default subordinate ID configuration in │ │ │ │ │ │ │ │ /etc/login.defs could lead to compromise │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-56433 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ TEMP-0628843-DBAD28 │ │ │ │ │ [more related to CVE-2005-4890] │ │ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │ │ │ │ │ │ │ │ AD28 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ mount │ CVE-2026-27456 │ MEDIUM │ │ 2.38.1-5+deb12u3 │ │ util-linux: TOCTOU in the mount program when setting up loop │ │ │ │ │ │ │ │ devices │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27456 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-0563 │ LOW │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ │ │ │ │ │ │ │ and chsh when compiled... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14104 │ │ │ │ │ util-linux: util-linux: Heap buffer overread in setpwnam() │ │ │ │ │ │ │ │ when processing 256-byte usernames │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14104 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3184 │ │ will_not_fix │ │ │ util-linux: util-linux: Access control bypass due to │ │ │ │ │ │ │ │ improper hostname canonicalization │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3184 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ ncurses-base │ CVE-2025-69720 │ HIGH │ affected │ 6.4-4 │ │ ncurses: ncurses: Buffer overflow vulnerability may lead to │ │ │ │ │ │ │ │ arbitrary code execution. │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69720 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-50495 │ MEDIUM │ │ │ │ ncurses: segmentation fault via _nc_wrap_entry() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-50495 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-6141 │ LOW │ │ │ │ gnu-ncurses: ncurses Stack Buffer Overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-6141 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ openssl │ CVE-2025-15467 │ CRITICAL │ fixed │ 3.0.16-1~deb12u1 │ 3.0.18-1~deb12u2 │ openssl: OpenSSL: Remote code execution or Denial of Service │ │ │ │ │ │ │ │ via oversized Initialization... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-15467 │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-69419 │ HIGH │ │ │ │ openssl: OpenSSL: Arbitrary code execution due to │ │ │ │ │ │ │ │ out-of-bounds write in PKCS#12 processing... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69419 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-69421 │ │ │ │ │ openssl: OpenSSL: Denial of Service via malformed PKCS#12 │ │ │ │ │ │ │ │ file processing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69421 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28390 │ │ │ │ 3.0.19-1~deb12u2 │ openssl: OpenSSL: Denial of Service due to NULL pointer │ │ │ │ │ │ │ │ dereference in CMS... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28390 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-68160 │ MEDIUM │ │ │ 3.0.18-1~deb12u2 │ openssl: OpenSSL: Denial of Service due to out-of-bounds │ │ │ │ │ │ │ │ write in BIO filter... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-68160 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-69418 │ │ │ │ │ openssl: OpenSSL: Information disclosure and data tampering │ │ │ │ │ │ │ │ via specific low-level OCB encryption/decryption... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69418 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-69420 │ │ │ │ │ openssl: OpenSSL: Denial of Service via malformed TimeStamp │ │ │ │ │ │ │ │ Response │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69420 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-9230 │ │ │ │ 3.0.17-1~deb12u3 │ openssl: Out-of-bounds read & write in RFC 3211 KEK Unwrap │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9230 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-22795 │ │ │ │ 3.0.18-1~deb12u2 │ openssl: OpenSSL: Denial of Service due to type confusion in │ │ │ │ │ │ │ │ PKCS#12 file... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22795 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-22796 │ │ │ │ │ openssl: OpenSSL: Denial of Service via type confusion in │ │ │ │ │ │ │ │ PKCS#7 signature verification... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22796 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28388 │ │ │ │ 3.0.19-1~deb12u2 │ openssl: OpenSSL: Denial of Service due to NULL pointer │ │ │ │ │ │ │ │ dereference in delta... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28388 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28389 │ │ │ │ │ openssl: OpenSSL: Denial of Service vulnerability in CMS │ │ │ │ │ │ │ │ processing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28389 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-31789 │ │ │ │ │ openssl: OpenSSL: Heap buffer overflow on 32-bit systems │ │ │ │ │ │ │ │ from large X.509 certificate... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-31789 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-31790 │ │ │ │ │ openssl: openssl: Information Disclosure from Uninitialized │ │ │ │ │ │ │ │ Memory via Invalid RSA Public Key... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-31790 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-27587 │ LOW │ affected │ │ │ OpenSSL 3.0.0 through 3.3.2 on the PowerPC architecture is │ │ │ │ │ │ │ │ vulnerable ...... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-27587 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-9232 │ │ fixed │ │ 3.0.17-1~deb12u3 │ openssl: Out-of-bounds read in HTTP client no_proxy handling │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9232 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28387 │ │ │ │ 3.0.19-1~deb12u2 │ openssl: OpenSSL: Arbitrary code execution due to │ │ │ │ │ │ │ │ use-after-free in DANE TLSA authentication... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28387 │ ├────────────────────┼─────────────────────┤ ├──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ passwd │ CVE-2007-5686 │ │ affected │ 1:4.13+dfsg1-1+deb12u1 │ │ initscripts in rPath Linux 1 sets insecure permissions for │ │ │ │ │ │ │ │ the /var/lo ...... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2007-5686 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-56433 │ │ │ │ │ shadow-utils: Default subordinate ID configuration in │ │ │ │ │ │ │ │ /etc/login.defs could lead to compromise │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-56433 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ TEMP-0628843-DBAD28 │ │ │ │ │ [more related to CVE-2005-4890] │ │ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │ │ │ │ │ │ │ │ AD28 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ perl │ CVE-2023-31484 │ HIGH │ fixed │ 5.36.0-7+deb12u2 │ 5.36.0-7+deb12u3 │ perl: CPAN.pm does not verify TLS certificates when │ │ │ │ │ │ │ │ downloading distributions over HTTPS... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31484 │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-40909 │ MEDIUM │ │ │ │ perl: Perl threads have a working directory race condition │ │ │ │ │ │ │ │ where file operations... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-40909 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2011-4116 │ LOW │ affected │ │ │ perl: File:: Temp insecure temporary file handling │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-4116 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-31486 │ │ │ │ │ http-tiny: perl: insecure TLS cert default │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31486 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ perl-base │ CVE-2023-31484 │ HIGH │ fixed │ │ 5.36.0-7+deb12u3 │ perl: CPAN.pm does not verify TLS certificates when │ │ │ │ │ │ │ │ downloading distributions over HTTPS... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31484 │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-40909 │ MEDIUM │ │ │ │ perl: Perl threads have a working directory race condition │ │ │ │ │ │ │ │ where file operations... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-40909 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2011-4116 │ LOW │ affected │ │ │ perl: File:: Temp insecure temporary file handling │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-4116 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-31486 │ │ │ │ │ http-tiny: perl: insecure TLS cert default │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31486 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ perl-modules-5.36 │ CVE-2023-31484 │ HIGH │ fixed │ │ 5.36.0-7+deb12u3 │ perl: CPAN.pm does not verify TLS certificates when │ │ │ │ │ │ │ │ downloading distributions over HTTPS... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31484 │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-40909 │ MEDIUM │ │ │ │ perl: Perl threads have a working directory race condition │ │ │ │ │ │ │ │ where file operations... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-40909 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2011-4116 │ LOW │ affected │ │ │ perl: File:: Temp insecure temporary file handling │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-4116 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-31486 │ │ │ │ │ http-tiny: perl: insecure TLS cert default │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31486 │ ├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ procps │ CVE-2023-4016 │ │ │ 2:4.0.2-3 │ │ procps: ps buffer overflow │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-4016 │ ├────────────────────┼─────────────────────┤ │ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ sysv-rc │ TEMP-0517018-A83CE6 │ │ │ 3.06-4 │ │ [sysvinit: no-root option in expert installer exposes │ │ │ │ │ │ │ │ locally exploitable security flaw] │ │ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0517018-A8- │ │ │ │ │ │ │ │ 3CE6 │ ├────────────────────┤ │ │ │ ├─────────────────────────┤ │ │ sysvinit-utils │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ tar │ CVE-2026-5704 │ MEDIUM │ │ 1.34+dfsg-1.2+deb12u1 │ │ tar: tar: Hidden file injection via crafted archives │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-5704 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2005-2541 │ LOW │ │ │ │ tar: does not properly warn the user when extracting setuid │ │ │ │ │ │ │ │ or setgid... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2005-2541 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ TEMP-0290435-0B57B5 │ │ │ │ │ [tar's rmt command may have undesired side effects] │ │ │ │ │ │ │ │ https://security-tracker.debian.org/tracker/TEMP-0290435-0B- │ │ │ │ │ │ │ │ 57B5 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ util-linux │ CVE-2026-27456 │ MEDIUM │ │ 2.38.1-5+deb12u3 │ │ util-linux: TOCTOU in the mount program when setting up loop │ │ │ │ │ │ │ │ devices │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27456 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-0563 │ LOW │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ │ │ │ │ │ │ │ and chsh when compiled... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14104 │ │ │ │ │ util-linux: util-linux: Heap buffer overread in setpwnam() │ │ │ │ │ │ │ │ when processing 256-byte usernames │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14104 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3184 │ │ will_not_fix │ │ │ util-linux: util-linux: Access control bypass due to │ │ │ │ │ │ │ │ improper hostname canonicalization │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3184 │ ├────────────────────┼─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ util-linux-extra │ CVE-2026-27456 │ MEDIUM │ affected │ │ │ util-linux: TOCTOU in the mount program when setting up loop │ │ │ │ │ │ │ │ devices │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27456 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-0563 │ LOW │ │ │ │ util-linux: partial disclosure of arbitrary files in chfn │ │ │ │ │ │ │ │ and chsh when compiled... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-0563 │ │ ├─────────────────────┤ │ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-14104 │ │ │ │ │ util-linux: util-linux: Heap buffer overread in setpwnam() │ │ │ │ │ │ │ │ when processing 256-byte usernames │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-14104 │ │ ├─────────────────────┤ ├──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3184 │ │ will_not_fix │ │ │ util-linux: util-linux: Access control bypass due to │ │ │ │ │ │ │ │ improper hostname canonicalization │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3184 │ ├────────────────────┼─────────────────────┼──────────┤ ├─────────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ zlib1g │ CVE-2023-45853 │ CRITICAL │ │ 1:1.2.13.dfsg-1 │ │ zlib: integer overflow and resultant heap-based buffer │ │ │ │ │ │ │ │ overflow in zipOpenNewFileInZip4_6 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45853 │ │ ├─────────────────────┼──────────┼──────────────┤ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27171 │ MEDIUM │ affected │ │ │ zlib: zlib: Denial of Service via infinite loop in CRC32 │ │ │ │ │ │ │ │ combine functions... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27171 │ └────────────────────┴─────────────────────┴──────────┴──────────────┴─────────────────────────┴─────────────────────────┴──────────────────────────────────────────────────────────────┘ opt/bitnami/common/.spdx-ini-file.spdx (gobinary) ================================================= Total: 27 (UNKNOWN: 1, LOW: 1, MEDIUM: 16, HIGH: 8, CRITICAL: 1) ┌─────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ stdlib (common) │ CVE-2025-68121 │ CRITICAL │ fixed │ v1.24.4 │ 1.24.13, 1.25.7, 1.26.0-rc.3 │ crypto/tls: crypto/tls: Incorrect certificate validation │ │ │ │ │ │ │ │ during TLS session resumption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-68121 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47907 │ HIGH │ │ │ 1.23.12, 1.24.6 │ database/sql: Postgres Scan Race Condition │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47907 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58183 │ │ │ │ 1.24.8, 1.25.2 │ golang: archive/tar: Unbounded allocation when parsing GNU │ │ │ │ │ │ │ │ sparse map │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58183 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61726 │ │ │ │ 1.24.12, 1.25.6 │ golang: net/url: Memory exhaustion in query parameter │ │ │ │ │ │ │ │ parsing in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61726 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61728 │ │ │ │ │ golang: archive/zip: Excessive CPU consumption when building │ │ │ │ │ │ │ │ archive index in archive/zip │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61728 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61729 │ │ │ │ 1.24.11, 1.25.5 │ crypto/x509: golang: Denial of Service due to excessive │ │ │ │ │ │ │ │ resource consumption via crafted... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61729 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-25679 │ │ │ │ 1.25.8, 1.26.1 │ net/url: Incorrect parsing of IPv6 host literals in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25679 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32280 │ │ │ │ 1.25.9, 1.26.2 │ During chain building, the amount of work that is done is │ │ │ │ │ │ │ │ not... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32280 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32282 │ │ │ │ │ golang: internal/syscall/unix: Root.Chmod can follow │ │ │ │ │ │ │ │ symlinks out of the root │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32282 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47906 │ MEDIUM │ │ │ 1.23.12, 1.24.6 │ os/exec: Unexpected paths returned from LookPath in os/exec │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47906 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47912 │ │ │ │ 1.24.8, 1.25.2 │ net/url: Insufficient validation of bracketed IPv6 hostnames │ │ │ │ │ │ │ │ in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47912 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58185 │ │ │ │ │ encoding/asn1: Parsing DER payload can cause memory │ │ │ │ │ │ │ │ exhaustion in encoding/asn1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58185 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58186 │ │ │ │ │ golang.org/net/http: Lack of limit when parsing cookies can │ │ │ │ │ │ │ │ cause memory exhaustion in... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58186 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58187 │ │ │ │ 1.24.9, 1.25.3 │ crypto/x509: Quadratic complexity when checking name │ │ │ │ │ │ │ │ constraints in crypto/x509 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58187 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58188 │ │ │ │ 1.24.8, 1.25.2 │ crypto/x509: golang: Panic when validating certificates with │ │ │ │ │ │ │ │ DSA public keys in crypto/x509... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58188 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58189 │ │ │ │ │ crypto/tls: go crypto/tls ALPN negotiation error contains │ │ │ │ │ │ │ │ attacker controlled information │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58189 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61723 │ │ │ │ │ encoding/pem: Quadratic complexity when parsing some invalid │ │ │ │ │ │ │ │ inputs in encoding/pem │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61723 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61724 │ │ │ │ │ net/textproto: Excessive CPU consumption in │ │ │ │ │ │ │ │ Reader.ReadResponse in net/textproto │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61724 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61725 │ │ │ │ │ net/mail: Excessive CPU consumption in ParseAddress in │ │ │ │ │ │ │ │ net/mail │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61725 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61727 │ │ │ │ 1.24.11, 1.25.5 │ golang: crypto/x509: excluded subdomain constraint does not │ │ │ │ │ │ │ │ restrict wildcard SANs │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61727 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61730 │ │ │ │ 1.24.12, 1.25.6 │ During the TLS 1.3 handshake if multiple messages are sent │ │ │ │ │ │ │ │ in records... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61730 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27142 │ │ │ │ 1.25.8, 1.26.1 │ html/template: URLs in meta content attribute actions are │ │ │ │ │ │ │ │ not escaped in html/template... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27142 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32281 │ │ │ │ 1.25.9, 1.26.2 │ crypto/x509: golang: Go crypto/x509: Denial of Service via │ │ │ │ │ │ │ │ inefficient certificate chain validation... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32281 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32288 │ │ │ │ │ archive/tar: golang: Go's archive/tar package: Denial of │ │ │ │ │ │ │ │ Service via maliciously-crafted archive │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32288 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32289 │ │ │ │ │ html/template: golang: html/template: Cross-Site Scripting │ │ │ │ │ │ │ │ (XSS) via improper context and brace depth... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32289 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27139 │ LOW │ │ │ 1.25.8, 1.26.1 │ os: FileInfo can escape from a Root in golang os module │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27139 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32283 │ UNKNOWN │ │ │ 1.25.9, 1.26.2 │ If one side of the TLS connection sends multiple key update │ │ │ │ │ │ │ │ messages... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32283 │ └─────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────┴──────────────────────────────────────────────────────────────┘ opt/bitnami/common/bin/ini-file (gobinary) ========================================== Total: 27 (UNKNOWN: 1, LOW: 1, MEDIUM: 16, HIGH: 8, CRITICAL: 1) ┌─────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ stdlib │ CVE-2025-68121 │ CRITICAL │ fixed │ v1.24.4 │ 1.24.13, 1.25.7, 1.26.0-rc.3 │ crypto/tls: crypto/tls: Incorrect certificate validation │ │ │ │ │ │ │ │ during TLS session resumption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-68121 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47907 │ HIGH │ │ │ 1.23.12, 1.24.6 │ database/sql: Postgres Scan Race Condition │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47907 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58183 │ │ │ │ 1.24.8, 1.25.2 │ golang: archive/tar: Unbounded allocation when parsing GNU │ │ │ │ │ │ │ │ sparse map │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58183 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61726 │ │ │ │ 1.24.12, 1.25.6 │ golang: net/url: Memory exhaustion in query parameter │ │ │ │ │ │ │ │ parsing in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61726 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61728 │ │ │ │ │ golang: archive/zip: Excessive CPU consumption when building │ │ │ │ │ │ │ │ archive index in archive/zip │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61728 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61729 │ │ │ │ 1.24.11, 1.25.5 │ crypto/x509: golang: Denial of Service due to excessive │ │ │ │ │ │ │ │ resource consumption via crafted... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61729 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-25679 │ │ │ │ 1.25.8, 1.26.1 │ net/url: Incorrect parsing of IPv6 host literals in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25679 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32280 │ │ │ │ 1.25.9, 1.26.2 │ During chain building, the amount of work that is done is │ │ │ │ │ │ │ │ not... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32280 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32282 │ │ │ │ │ golang: internal/syscall/unix: Root.Chmod can follow │ │ │ │ │ │ │ │ symlinks out of the root │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32282 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47906 │ MEDIUM │ │ │ 1.23.12, 1.24.6 │ os/exec: Unexpected paths returned from LookPath in os/exec │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47906 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47912 │ │ │ │ 1.24.8, 1.25.2 │ net/url: Insufficient validation of bracketed IPv6 hostnames │ │ │ │ │ │ │ │ in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47912 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58185 │ │ │ │ │ encoding/asn1: Parsing DER payload can cause memory │ │ │ │ │ │ │ │ exhaustion in encoding/asn1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58185 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58186 │ │ │ │ │ golang.org/net/http: Lack of limit when parsing cookies can │ │ │ │ │ │ │ │ cause memory exhaustion in... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58186 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58187 │ │ │ │ 1.24.9, 1.25.3 │ crypto/x509: Quadratic complexity when checking name │ │ │ │ │ │ │ │ constraints in crypto/x509 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58187 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58188 │ │ │ │ 1.24.8, 1.25.2 │ crypto/x509: golang: Panic when validating certificates with │ │ │ │ │ │ │ │ DSA public keys in crypto/x509... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58188 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58189 │ │ │ │ │ crypto/tls: go crypto/tls ALPN negotiation error contains │ │ │ │ │ │ │ │ attacker controlled information │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58189 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61723 │ │ │ │ │ encoding/pem: Quadratic complexity when parsing some invalid │ │ │ │ │ │ │ │ inputs in encoding/pem │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61723 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61724 │ │ │ │ │ net/textproto: Excessive CPU consumption in │ │ │ │ │ │ │ │ Reader.ReadResponse in net/textproto │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61724 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61725 │ │ │ │ │ net/mail: Excessive CPU consumption in ParseAddress in │ │ │ │ │ │ │ │ net/mail │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61725 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61727 │ │ │ │ 1.24.11, 1.25.5 │ golang: crypto/x509: excluded subdomain constraint does not │ │ │ │ │ │ │ │ restrict wildcard SANs │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61727 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61730 │ │ │ │ 1.24.12, 1.25.6 │ During the TLS 1.3 handshake if multiple messages are sent │ │ │ │ │ │ │ │ in records... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61730 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27142 │ │ │ │ 1.25.8, 1.26.1 │ html/template: URLs in meta content attribute actions are │ │ │ │ │ │ │ │ not escaped in html/template... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27142 │ │ ├────────────────┤ │ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32281 │ │ │ │ 1.25.9, 1.26.2 │ crypto/x509: golang: Go crypto/x509: Denial of Service via │ │ │ │ │ │ │ │ inefficient certificate chain validation... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32281 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32288 │ │ │ │ │ archive/tar: golang: Go's archive/tar package: Denial of │ │ │ │ │ │ │ │ Service via maliciously-crafted archive │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32288 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32289 │ │ │ │ │ html/template: golang: html/template: Cross-Site Scripting │ │ │ │ │ │ │ │ (XSS) via improper context and brace depth... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32289 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27139 │ LOW │ │ │ 1.25.8, 1.26.1 │ os: FileInfo can escape from a Root in golang os module │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27139 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32283 │ UNKNOWN │ │ │ 1.25.9, 1.26.2 │ If one side of the TLS connection sends multiple key update │ │ │ │ │ │ │ │ messages... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32283 │ └─────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────┴──────────────────────────────────────────────────────────────┘ opt/bitnami/grafana (bitnami) ============================= Total: 8 (UNKNOWN: 0, LOW: 1, MEDIUM: 3, HIGH: 3, CRITICAL: 1) ┌─────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ grafana │ CVE-2026-27876 │ CRITICAL │ fixed │ 12.0.2-0 │ 11.6.14, 12.1.10, 12.2.8, 12.3.6, 12.4.2 │ grafana: grafana-enterprise-plugin: Grafana: Remote │ │ │ │ │ │ │ │ arbitrary code execution via chained SQL Expressions and... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27876 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-21720 │ HIGH │ │ │ 11.6.9, 12.0.8, 12.1.5, 12.2.3, 12.3.1 │ grafana: Grafana: Denial of Service via resource exhaustion │ │ │ │ │ │ │ │ from avatar requests │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-21720 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-21721 │ │ │ │ │ grafana/grafana/pkg/services/dashboards: Grafana Dashboard │ │ │ │ │ │ │ │ Permissions Scope Bypass Enables Cross‑Dashboard Privilege │ │ │ │ │ │ │ │ Escalation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-21721 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27877 │ │ │ │ 11.6.14, 12.1.10, 12.2.8, 12.3.6, 12.4.2 │ grafana: Grafana: Information disclosure of data-source │ │ │ │ │ │ │ │ passwords via public dashboards │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27877 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-21722 │ MEDIUM │ │ │ 11.6.10, 12.1.6, 12.2.4, 12.3.2 │ grafana: Public Dashboards time range restriction on │ │ │ │ │ │ │ │ annotations can be bypassed │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-21722 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27879 │ │ │ │ 11.6.14, 12.1.10, 12.2.8, 12.3.6, 12.4.2 │ Grafana: Grafana: Denial of Service via resample query │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27879 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-28375 │ │ │ │ │ grafana: Grafana: Denial of Service via testdata data-source │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-28375 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-21725 │ LOW │ │ │ 12.4.1 │ grafana: Grafana: Unauthorized data source deletion via │ │ │ │ │ │ │ │ time-of-create-to-time-of-use (TOCTOU) vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-21725 │ └─────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────────────┴──────────────────────────────────────────────────────────────┘ opt/bitnami/grafana/.spdx-grafana.spdx (gobinary) ================================================= Total: 51 (UNKNOWN: 1, LOW: 4, MEDIUM: 31, HIGH: 13, CRITICAL: 2) ┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬───────────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/aws/aws-sdk-go-v2/aws/protocol/eventstream │ GHSA-xmrv-pmrh-hhx2 │ MEDIUM │ fixed │ v1.6.3 │ 1.7.8 │ Denial of Service due to Panic in AWS SDK for Go v2... │ │ (grafana) │ │ │ │ │ │ https://github.com/advisories/GHSA-xmrv-pmrh-hhx2 │ ├──────────────────────────────────────────────────────────────┤ │ │ ├───────────────────┼───────────────────────────────────────┤ │ │ github.com/aws/aws-sdk-go-v2/service/s3 (grafana) │ │ │ │ v1.58.3 │ 1.97.3 │ │ │ │ │ │ │ │ │ │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/buger/jsonparser (grafana) │ CVE-2026-32285 │ HIGH │ │ v1.1.1 │ 1.1.2 │ github.com/buger/jsonparser: github.com/buger/jsonparser: │ │ │ │ │ │ │ │ Denial of Service via malformed JSON input │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32285 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/cloudflare/circl (grafana) │ CVE-2025-8556 │ LOW │ │ v1.6.0 │ 1.6.1 │ github.com/cloudflare/circl: CIRCL-Fourq: Missing and wrong │ │ │ │ │ │ │ │ validation can lead to incorrect results │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8556 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-1229 │ │ │ │ 1.6.3 │ CIRCL has an incorrect calculation in secp384r1 CombinedMult │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1229 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/go-git/go-git/v5 (grafana) │ CVE-2026-25934 │ MEDIUM │ │ v5.14.0 │ 5.16.5 │ go-git/go-git: go-git: Data integrity issue due to improper │ │ │ │ │ │ │ │ verification of pack and... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25934 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34165 │ │ │ │ 5.17.1 │ github.com/go-git/go-git/v5: go-git: Denial of Service via │ │ │ │ │ │ │ │ crafted .idx file │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34165 │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-33762 │ LOW │ │ │ │ github.com/go-git/go-git/v5: go-git: Denial of Service via │ │ │ │ │ │ │ │ crafted Git index file │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-33762 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/go-jose/go-jose/v3 (grafana) │ CVE-2026-34986 │ HIGH │ │ v3.0.4 │ 3.0.5 │ github.com/go-jose/go-jose/v3: │ │ │ │ │ │ │ │ github.com/go-jose/go-jose/v4: Go JOSE: Denial of Service │ │ │ │ │ │ │ │ via crafted JSON Web Encryption... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34986 │ ├──────────────────────────────────────────────────────────────┤ │ │ ├───────────────────┼───────────────────────────────────────┤ │ │ github.com/go-jose/go-jose/v4 (grafana) │ │ │ │ v4.1.0 │ 4.1.4 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/go-viper/mapstructure/v2 (grafana) │ CVE-2025-11065 │ MEDIUM │ │ v2.2.1 │ 2.4.0 │ github.com/go-viper/mapstructure/v2: Go-viper's mapstructure │ │ │ │ │ │ │ │ May Leak Sensitive Information in Logs in │ │ │ │ │ │ │ │ github.com/go-viper/mapstructure │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-11065 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ GHSA-fv92-fjc5-jj9h │ │ │ │ 2.3.0 │ mapstructure May Leak Sensitive Information in Logs When │ │ │ │ │ │ │ │ Processing Malformed Data │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-fv92-fjc5-jj9h │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/openfga/openfga (grafana) │ CVE-2025-64751 │ │ │ v1.8.13 │ 1.11.1 │ OpenFGA Improper Policy Enforcement │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-64751 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-24851 │ │ │ │ 1.11.3 │ github.com/openfga/openfga: OpenFGA Improper Policy │ │ │ │ │ │ │ │ Enforcement │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-24851 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-33729 │ │ │ │ 1.13.1 │ OpenFGA has an Authorization Bypass through cached keys │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-33729 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34972 │ │ │ │ 1.14.0 │ github.com/openfga/openfga: OpenFGA: Improper policy │ │ │ │ │ │ │ │ enforcement via specific BatchCheck calls │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34972 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-40293 │ │ │ │ │ OpenFGA: Unauthenticated playground endpoint discloses │ │ │ │ │ │ │ │ preshared API key in HTML response │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-40293 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/prometheus/prometheus (grafana) │ CVE-2026-40179 │ │ │ v0.301.0 │ 0.311.2-0.20260410083055-07c6232d159b │ Prometheus has Stored XSS via metric names and label values │ │ │ │ │ │ │ │ in Prometheus... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-40179 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ go.opentelemetry.io/otel/exporters/otlp/otlptrace/otlptrace- │ CVE-2026-39882 │ │ │ v1.35.0 │ 1.43.0 │ OpenTelemetry-Go is the Go implementation of OpenTelemetry. │ │ http (grafana) │ │ │ │ │ │ Prior to 1 ... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-39882 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ go.opentelemetry.io/otel/sdk (grafana) │ CVE-2026-24051 │ HIGH │ │ │ 1.40.0 │ OpenTelemetry Go SDK Vulnerable to Arbitrary Code Execution │ │ │ │ │ │ │ │ via PATH Hijacking │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-24051 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-39883 │ │ │ │ 1.43.0 │ opentelemetry-go: BSD kenv command not using absolute path │ │ │ │ │ │ │ │ enables PATH hijacking │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-39883 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/crypto (grafana) │ CVE-2025-47914 │ MEDIUM │ │ v0.38.0 │ 0.45.0 │ golang.org/x/crypto/ssh/agent: SSH Agent servers: Denial of │ │ │ │ │ │ │ │ Service due to malformed messages │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47914 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58181 │ │ │ │ │ golang.org/x/crypto/ssh: golang.org/x/crypto/ssh: Denial of │ │ │ │ │ │ │ │ Service via unbounded memory consumption in GSSAPI │ │ │ │ │ │ │ │ authentication... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58181 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/grpc (grafana) │ CVE-2026-33186 │ CRITICAL │ │ v1.72.1 │ 1.79.3 │ google.golang.org/grpc/grpc-go: │ │ │ │ │ │ │ │ google.golang.org/grpc/authz: gRPC-Go: Authorization bypass │ │ │ │ │ │ │ │ due to improper HTTP/2 path validation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-33186 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ stdlib (grafana) │ CVE-2025-68121 │ │ │ v1.24.4 │ 1.24.13, 1.25.7, 1.26.0-rc.3 │ crypto/tls: crypto/tls: Incorrect certificate validation │ │ │ │ │ │ │ │ during TLS session resumption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-68121 │ │ ├─────────────────────┼──────────┤ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47907 │ HIGH │ │ │ 1.23.12, 1.24.6 │ database/sql: Postgres Scan Race Condition │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47907 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58183 │ │ │ │ 1.24.8, 1.25.2 │ golang: archive/tar: Unbounded allocation when parsing GNU │ │ │ │ │ │ │ │ sparse map │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58183 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61726 │ │ │ │ 1.24.12, 1.25.6 │ golang: net/url: Memory exhaustion in query parameter │ │ │ │ │ │ │ │ parsing in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61726 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61728 │ │ │ │ │ golang: archive/zip: Excessive CPU consumption when building │ │ │ │ │ │ │ │ archive index in archive/zip │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61728 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61729 │ │ │ │ 1.24.11, 1.25.5 │ crypto/x509: golang: Denial of Service due to excessive │ │ │ │ │ │ │ │ resource consumption via crafted... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61729 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-25679 │ │ │ │ 1.25.8, 1.26.1 │ net/url: Incorrect parsing of IPv6 host literals in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25679 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32280 │ │ │ │ 1.25.9, 1.26.2 │ During chain building, the amount of work that is done is │ │ │ │ │ │ │ │ not... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32280 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32282 │ │ │ │ │ golang: internal/syscall/unix: Root.Chmod can follow │ │ │ │ │ │ │ │ symlinks out of the root │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32282 │ │ ├─────────────────────┼──────────┤ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47906 │ MEDIUM │ │ │ 1.23.12, 1.24.6 │ os/exec: Unexpected paths returned from LookPath in os/exec │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47906 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47912 │ │ │ │ 1.24.8, 1.25.2 │ net/url: Insufficient validation of bracketed IPv6 hostnames │ │ │ │ │ │ │ │ in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47912 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58185 │ │ │ │ │ encoding/asn1: Parsing DER payload can cause memory │ │ │ │ │ │ │ │ exhaustion in encoding/asn1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58185 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58186 │ │ │ │ │ golang.org/net/http: Lack of limit when parsing cookies can │ │ │ │ │ │ │ │ cause memory exhaustion in... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58186 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58187 │ │ │ │ 1.24.9, 1.25.3 │ crypto/x509: Quadratic complexity when checking name │ │ │ │ │ │ │ │ constraints in crypto/x509 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58187 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58188 │ │ │ │ 1.24.8, 1.25.2 │ crypto/x509: golang: Panic when validating certificates with │ │ │ │ │ │ │ │ DSA public keys in crypto/x509... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58188 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58189 │ │ │ │ │ crypto/tls: go crypto/tls ALPN negotiation error contains │ │ │ │ │ │ │ │ attacker controlled information │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58189 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61723 │ │ │ │ │ encoding/pem: Quadratic complexity when parsing some invalid │ │ │ │ │ │ │ │ inputs in encoding/pem │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61723 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61724 │ │ │ │ │ net/textproto: Excessive CPU consumption in │ │ │ │ │ │ │ │ Reader.ReadResponse in net/textproto │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61724 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61725 │ │ │ │ │ net/mail: Excessive CPU consumption in ParseAddress in │ │ │ │ │ │ │ │ net/mail │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61725 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61727 │ │ │ │ 1.24.11, 1.25.5 │ golang: crypto/x509: excluded subdomain constraint does not │ │ │ │ │ │ │ │ restrict wildcard SANs │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61727 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61730 │ │ │ │ 1.24.12, 1.25.6 │ During the TLS 1.3 handshake if multiple messages are sent │ │ │ │ │ │ │ │ in records... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61730 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27142 │ │ │ │ 1.25.8, 1.26.1 │ html/template: URLs in meta content attribute actions are │ │ │ │ │ │ │ │ not escaped in html/template... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27142 │ │ ├─────────────────────┤ │ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32281 │ │ │ │ 1.25.9, 1.26.2 │ crypto/x509: golang: Go crypto/x509: Denial of Service via │ │ │ │ │ │ │ │ inefficient certificate chain validation... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32281 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32288 │ │ │ │ │ archive/tar: golang: Go's archive/tar package: Denial of │ │ │ │ │ │ │ │ Service via maliciously-crafted archive │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32288 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32289 │ │ │ │ │ html/template: golang: html/template: Cross-Site Scripting │ │ │ │ │ │ │ │ (XSS) via improper context and brace depth... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32289 │ │ ├─────────────────────┼──────────┤ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27139 │ LOW │ │ │ 1.25.8, 1.26.1 │ os: FileInfo can escape from a Root in golang os module │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27139 │ │ ├─────────────────────┼──────────┤ │ ├───────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32283 │ UNKNOWN │ │ │ 1.25.9, 1.26.2 │ If one side of the TLS connection sends multiple key update │ │ │ │ │ │ │ │ messages... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32283 │ └──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴───────────────────────────────────────┴──────────────────────────────────────────────────────────────┘ opt/bitnami/grafana/bin/grafana (gobinary) ========================================== Total: 53 (UNKNOWN: 1, LOW: 4, MEDIUM: 32, HIGH: 13, CRITICAL: 3) ┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬─────────────────────────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/aws/aws-sdk-go-v2/aws/protocol/eventstream │ GHSA-xmrv-pmrh-hhx2 │ MEDIUM │ fixed │ v1.6.3 │ 1.7.8 │ Denial of Service due to Panic in AWS SDK for Go v2... │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-xmrv-pmrh-hhx2 │ ├──────────────────────────────────────────────────────────────┤ │ │ ├───────────────────┼─────────────────────────────────────────────────────────────┤ │ │ github.com/aws/aws-sdk-go-v2/service/s3 │ │ │ │ v1.58.3 │ 1.97.3 │ │ │ │ │ │ │ │ │ │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/buger/jsonparser │ CVE-2026-32285 │ HIGH │ │ v1.1.1 │ 1.1.2 │ github.com/buger/jsonparser: github.com/buger/jsonparser: │ │ │ │ │ │ │ │ Denial of Service via malformed JSON input │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32285 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/cloudflare/circl │ CVE-2025-8556 │ LOW │ │ v1.6.0 │ 1.6.1 │ github.com/cloudflare/circl: CIRCL-Fourq: Missing and wrong │ │ │ │ │ │ │ │ validation can lead to incorrect results │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8556 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-1229 │ │ │ │ 1.6.3 │ CIRCL has an incorrect calculation in secp384r1 CombinedMult │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1229 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/go-git/go-git/v5 │ CVE-2026-25934 │ MEDIUM │ │ v5.14.0 │ 5.16.5 │ go-git/go-git: go-git: Data integrity issue due to improper │ │ │ │ │ │ │ │ verification of pack and... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25934 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34165 │ │ │ │ 5.17.1 │ github.com/go-git/go-git/v5: go-git: Denial of Service via │ │ │ │ │ │ │ │ crafted .idx file │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34165 │ │ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-33762 │ LOW │ │ │ │ github.com/go-git/go-git/v5: go-git: Denial of Service via │ │ │ │ │ │ │ │ crafted Git index file │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-33762 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/go-jose/go-jose/v3 │ CVE-2026-34986 │ HIGH │ │ v3.0.4 │ 3.0.5 │ github.com/go-jose/go-jose/v3: │ │ │ │ │ │ │ │ github.com/go-jose/go-jose/v4: Go JOSE: Denial of Service │ │ │ │ │ │ │ │ via crafted JSON Web Encryption... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34986 │ ├──────────────────────────────────────────────────────────────┤ │ │ ├───────────────────┼─────────────────────────────────────────────────────────────┤ │ │ github.com/go-jose/go-jose/v4 │ │ │ │ v4.1.0 │ 4.1.4 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/go-viper/mapstructure/v2 │ CVE-2025-11065 │ MEDIUM │ │ v2.2.1 │ 2.4.0 │ github.com/go-viper/mapstructure/v2: Go-viper's mapstructure │ │ │ │ │ │ │ │ May Leak Sensitive Information in Logs in │ │ │ │ │ │ │ │ github.com/go-viper/mapstructure │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-11065 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ GHSA-fv92-fjc5-jj9h │ │ │ │ 2.3.0 │ mapstructure May Leak Sensitive Information in Logs When │ │ │ │ │ │ │ │ Processing Malformed Data │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-fv92-fjc5-jj9h │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/grafana/grafana │ CVE-2025-41115 │ CRITICAL │ │ 12.0.2 │ 12.0.7, 12.1.4, 12.2.2, 1.9.2-0.20251106142618-ca5d89812015 │ grafana: Incorrect Privilege Assignment │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-41115 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27877 │ MEDIUM │ │ │ 1.9.2-0.20260325055210-3522153e07b4 │ grafana: Grafana: Information disclosure of data-source │ │ │ │ │ │ │ │ passwords via public dashboards │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27877 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/openfga/openfga │ CVE-2025-64751 │ │ │ v1.8.13 │ 1.11.1 │ OpenFGA Improper Policy Enforcement │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-64751 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-24851 │ │ │ │ 1.11.3 │ github.com/openfga/openfga: OpenFGA Improper Policy │ │ │ │ │ │ │ │ Enforcement │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-24851 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-33729 │ │ │ │ 1.13.1 │ OpenFGA has an Authorization Bypass through cached keys │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-33729 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-34972 │ │ │ │ 1.14.0 │ github.com/openfga/openfga: OpenFGA: Improper policy │ │ │ │ │ │ │ │ enforcement via specific BatchCheck calls │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-34972 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-40293 │ │ │ │ │ OpenFGA: Unauthenticated playground endpoint discloses │ │ │ │ │ │ │ │ preshared API key in HTML response │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-40293 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/prometheus/prometheus │ CVE-2026-40179 │ │ │ v0.301.0 │ 0.311.2-0.20260410083055-07c6232d159b │ Prometheus has Stored XSS via metric names and label values │ │ │ │ │ │ │ │ in Prometheus... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-40179 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ go.opentelemetry.io/otel/exporters/otlp/otlptrace/otlptrace- │ CVE-2026-39882 │ │ │ v1.35.0 │ 1.43.0 │ OpenTelemetry-Go is the Go implementation of OpenTelemetry. │ │ http │ │ │ │ │ │ Prior to 1 ... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-39882 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ go.opentelemetry.io/otel/sdk │ CVE-2026-24051 │ HIGH │ │ │ 1.40.0 │ OpenTelemetry Go SDK Vulnerable to Arbitrary Code Execution │ │ │ │ │ │ │ │ via PATH Hijacking │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-24051 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-39883 │ │ │ │ 1.43.0 │ opentelemetry-go: BSD kenv command not using absolute path │ │ │ │ │ │ │ │ enables PATH hijacking │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-39883 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ golang.org/x/crypto │ CVE-2025-47914 │ MEDIUM │ │ v0.38.0 │ 0.45.0 │ golang.org/x/crypto/ssh/agent: SSH Agent servers: Denial of │ │ │ │ │ │ │ │ Service due to malformed messages │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47914 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58181 │ │ │ │ │ golang.org/x/crypto/ssh: golang.org/x/crypto/ssh: Denial of │ │ │ │ │ │ │ │ Service via unbounded memory consumption in GSSAPI │ │ │ │ │ │ │ │ authentication... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58181 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ google.golang.org/grpc │ CVE-2026-33186 │ CRITICAL │ │ v1.72.1 │ 1.79.3 │ google.golang.org/grpc/grpc-go: │ │ │ │ │ │ │ │ google.golang.org/grpc/authz: gRPC-Go: Authorization bypass │ │ │ │ │ │ │ │ due to improper HTTP/2 path validation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-33186 │ ├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ stdlib │ CVE-2025-68121 │ │ │ v1.24.4 │ 1.24.13, 1.25.7, 1.26.0-rc.3 │ crypto/tls: crypto/tls: Incorrect certificate validation │ │ │ │ │ │ │ │ during TLS session resumption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-68121 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47907 │ HIGH │ │ │ 1.23.12, 1.24.6 │ database/sql: Postgres Scan Race Condition │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47907 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58183 │ │ │ │ 1.24.8, 1.25.2 │ golang: archive/tar: Unbounded allocation when parsing GNU │ │ │ │ │ │ │ │ sparse map │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58183 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61726 │ │ │ │ 1.24.12, 1.25.6 │ golang: net/url: Memory exhaustion in query parameter │ │ │ │ │ │ │ │ parsing in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61726 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61728 │ │ │ │ │ golang: archive/zip: Excessive CPU consumption when building │ │ │ │ │ │ │ │ archive index in archive/zip │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61728 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61729 │ │ │ │ 1.24.11, 1.25.5 │ crypto/x509: golang: Denial of Service due to excessive │ │ │ │ │ │ │ │ resource consumption via crafted... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61729 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-25679 │ │ │ │ 1.25.8, 1.26.1 │ net/url: Incorrect parsing of IPv6 host literals in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25679 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32280 │ │ │ │ 1.25.9, 1.26.2 │ During chain building, the amount of work that is done is │ │ │ │ │ │ │ │ not... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32280 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32282 │ │ │ │ │ golang: internal/syscall/unix: Root.Chmod can follow │ │ │ │ │ │ │ │ symlinks out of the root │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32282 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47906 │ MEDIUM │ │ │ 1.23.12, 1.24.6 │ os/exec: Unexpected paths returned from LookPath in os/exec │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47906 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47912 │ │ │ │ 1.24.8, 1.25.2 │ net/url: Insufficient validation of bracketed IPv6 hostnames │ │ │ │ │ │ │ │ in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47912 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58185 │ │ │ │ │ encoding/asn1: Parsing DER payload can cause memory │ │ │ │ │ │ │ │ exhaustion in encoding/asn1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58185 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58186 │ │ │ │ │ golang.org/net/http: Lack of limit when parsing cookies can │ │ │ │ │ │ │ │ cause memory exhaustion in... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58186 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58187 │ │ │ │ 1.24.9, 1.25.3 │ crypto/x509: Quadratic complexity when checking name │ │ │ │ │ │ │ │ constraints in crypto/x509 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58187 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58188 │ │ │ │ 1.24.8, 1.25.2 │ crypto/x509: golang: Panic when validating certificates with │ │ │ │ │ │ │ │ DSA public keys in crypto/x509... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58188 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58189 │ │ │ │ │ crypto/tls: go crypto/tls ALPN negotiation error contains │ │ │ │ │ │ │ │ attacker controlled information │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58189 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61723 │ │ │ │ │ encoding/pem: Quadratic complexity when parsing some invalid │ │ │ │ │ │ │ │ inputs in encoding/pem │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61723 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61724 │ │ │ │ │ net/textproto: Excessive CPU consumption in │ │ │ │ │ │ │ │ Reader.ReadResponse in net/textproto │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61724 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61725 │ │ │ │ │ net/mail: Excessive CPU consumption in ParseAddress in │ │ │ │ │ │ │ │ net/mail │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61725 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61727 │ │ │ │ 1.24.11, 1.25.5 │ golang: crypto/x509: excluded subdomain constraint does not │ │ │ │ │ │ │ │ restrict wildcard SANs │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61727 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61730 │ │ │ │ 1.24.12, 1.25.6 │ During the TLS 1.3 handshake if multiple messages are sent │ │ │ │ │ │ │ │ in records... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61730 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27142 │ │ │ │ 1.25.8, 1.26.1 │ html/template: URLs in meta content attribute actions are │ │ │ │ │ │ │ │ not escaped in html/template... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27142 │ │ ├─────────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32281 │ │ │ │ 1.25.9, 1.26.2 │ crypto/x509: golang: Go crypto/x509: Denial of Service via │ │ │ │ │ │ │ │ inefficient certificate chain validation... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32281 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32288 │ │ │ │ │ archive/tar: golang: Go's archive/tar package: Denial of │ │ │ │ │ │ │ │ Service via maliciously-crafted archive │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32288 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32289 │ │ │ │ │ html/template: golang: html/template: Cross-Site Scripting │ │ │ │ │ │ │ │ (XSS) via improper context and brace depth... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32289 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27139 │ LOW │ │ │ 1.25.8, 1.26.1 │ os: FileInfo can escape from a Root in golang os module │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27139 │ │ ├─────────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32283 │ UNKNOWN │ │ │ 1.25.9, 1.26.2 │ If one side of the TLS connection sends multiple key update │ │ │ │ │ │ │ │ messages... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32283 │ └──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴─────────────────────────────────────────────────────────────┴──────────────────────────────────────────────────────────────┘ opt/bitnami/grafana/bin/grafana-cli (gobinary) ============================================== Total: 29 (UNKNOWN: 1, LOW: 1, MEDIUM: 17, HIGH: 8, CRITICAL: 2) ┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/grafana/grafana │ CVE-2025-41115 │ CRITICAL │ fixed │ 12.0.2 │ 12.0.7, 12.1.4, 12.2.2, 1.9.2-0.20251106142618-ca5d89812015 │ grafana: Incorrect Privilege Assignment │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-41115 │ │ ├────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27877 │ MEDIUM │ │ │ 1.9.2-0.20260325055210-3522153e07b4 │ grafana: Grafana: Information disclosure of data-source │ │ │ │ │ │ │ │ passwords via public dashboards │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27877 │ ├────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ stdlib │ CVE-2025-68121 │ CRITICAL │ │ v1.24.4 │ 1.24.13, 1.25.7, 1.26.0-rc.3 │ crypto/tls: crypto/tls: Incorrect certificate validation │ │ │ │ │ │ │ │ during TLS session resumption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-68121 │ │ ├────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47907 │ HIGH │ │ │ 1.23.12, 1.24.6 │ database/sql: Postgres Scan Race Condition │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47907 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58183 │ │ │ │ 1.24.8, 1.25.2 │ golang: archive/tar: Unbounded allocation when parsing GNU │ │ │ │ │ │ │ │ sparse map │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58183 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61726 │ │ │ │ 1.24.12, 1.25.6 │ golang: net/url: Memory exhaustion in query parameter │ │ │ │ │ │ │ │ parsing in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61726 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61728 │ │ │ │ │ golang: archive/zip: Excessive CPU consumption when building │ │ │ │ │ │ │ │ archive index in archive/zip │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61728 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61729 │ │ │ │ 1.24.11, 1.25.5 │ crypto/x509: golang: Denial of Service due to excessive │ │ │ │ │ │ │ │ resource consumption via crafted... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61729 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-25679 │ │ │ │ 1.25.8, 1.26.1 │ net/url: Incorrect parsing of IPv6 host literals in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25679 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32280 │ │ │ │ 1.25.9, 1.26.2 │ During chain building, the amount of work that is done is │ │ │ │ │ │ │ │ not... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32280 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32282 │ │ │ │ │ golang: internal/syscall/unix: Root.Chmod can follow │ │ │ │ │ │ │ │ symlinks out of the root │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32282 │ │ ├────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47906 │ MEDIUM │ │ │ 1.23.12, 1.24.6 │ os/exec: Unexpected paths returned from LookPath in os/exec │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47906 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47912 │ │ │ │ 1.24.8, 1.25.2 │ net/url: Insufficient validation of bracketed IPv6 hostnames │ │ │ │ │ │ │ │ in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47912 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58185 │ │ │ │ │ encoding/asn1: Parsing DER payload can cause memory │ │ │ │ │ │ │ │ exhaustion in encoding/asn1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58185 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58186 │ │ │ │ │ golang.org/net/http: Lack of limit when parsing cookies can │ │ │ │ │ │ │ │ cause memory exhaustion in... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58186 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58187 │ │ │ │ 1.24.9, 1.25.3 │ crypto/x509: Quadratic complexity when checking name │ │ │ │ │ │ │ │ constraints in crypto/x509 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58187 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58188 │ │ │ │ 1.24.8, 1.25.2 │ crypto/x509: golang: Panic when validating certificates with │ │ │ │ │ │ │ │ DSA public keys in crypto/x509... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58188 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58189 │ │ │ │ │ crypto/tls: go crypto/tls ALPN negotiation error contains │ │ │ │ │ │ │ │ attacker controlled information │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58189 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61723 │ │ │ │ │ encoding/pem: Quadratic complexity when parsing some invalid │ │ │ │ │ │ │ │ inputs in encoding/pem │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61723 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61724 │ │ │ │ │ net/textproto: Excessive CPU consumption in │ │ │ │ │ │ │ │ Reader.ReadResponse in net/textproto │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61724 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61725 │ │ │ │ │ net/mail: Excessive CPU consumption in ParseAddress in │ │ │ │ │ │ │ │ net/mail │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61725 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61727 │ │ │ │ 1.24.11, 1.25.5 │ golang: crypto/x509: excluded subdomain constraint does not │ │ │ │ │ │ │ │ restrict wildcard SANs │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61727 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61730 │ │ │ │ 1.24.12, 1.25.6 │ During the TLS 1.3 handshake if multiple messages are sent │ │ │ │ │ │ │ │ in records... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61730 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27142 │ │ │ │ 1.25.8, 1.26.1 │ html/template: URLs in meta content attribute actions are │ │ │ │ │ │ │ │ not escaped in html/template... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27142 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32281 │ │ │ │ 1.25.9, 1.26.2 │ crypto/x509: golang: Go crypto/x509: Denial of Service via │ │ │ │ │ │ │ │ inefficient certificate chain validation... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32281 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32288 │ │ │ │ │ archive/tar: golang: Go's archive/tar package: Denial of │ │ │ │ │ │ │ │ Service via maliciously-crafted archive │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32288 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32289 │ │ │ │ │ html/template: golang: html/template: Cross-Site Scripting │ │ │ │ │ │ │ │ (XSS) via improper context and brace depth... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32289 │ │ ├────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27139 │ LOW │ │ │ 1.25.8, 1.26.1 │ os: FileInfo can escape from a Root in golang os module │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27139 │ │ ├────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32283 │ UNKNOWN │ │ │ 1.25.9, 1.26.2 │ If one side of the TLS connection sends multiple key update │ │ │ │ │ │ │ │ messages... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32283 │ └────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────────────────────────────────────────────┴──────────────────────────────────────────────────────────────┘ opt/bitnami/grafana/bin/grafana-server (gobinary) ================================================= Total: 29 (UNKNOWN: 1, LOW: 1, MEDIUM: 17, HIGH: 8, CRITICAL: 2) ┌────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ github.com/grafana/grafana │ CVE-2025-41115 │ CRITICAL │ fixed │ 12.0.2 │ 12.0.7, 12.1.4, 12.2.2, 1.9.2-0.20251106142618-ca5d89812015 │ grafana: Incorrect Privilege Assignment │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-41115 │ │ ├────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27877 │ MEDIUM │ │ │ 1.9.2-0.20260325055210-3522153e07b4 │ grafana: Grafana: Information disclosure of data-source │ │ │ │ │ │ │ │ passwords via public dashboards │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27877 │ ├────────────────────────────┼────────────────┼──────────┤ ├───────────────────┼─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ stdlib │ CVE-2025-68121 │ CRITICAL │ │ v1.24.4 │ 1.24.13, 1.25.7, 1.26.0-rc.3 │ crypto/tls: crypto/tls: Incorrect certificate validation │ │ │ │ │ │ │ │ during TLS session resumption │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-68121 │ │ ├────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47907 │ HIGH │ │ │ 1.23.12, 1.24.6 │ database/sql: Postgres Scan Race Condition │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47907 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58183 │ │ │ │ 1.24.8, 1.25.2 │ golang: archive/tar: Unbounded allocation when parsing GNU │ │ │ │ │ │ │ │ sparse map │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58183 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61726 │ │ │ │ 1.24.12, 1.25.6 │ golang: net/url: Memory exhaustion in query parameter │ │ │ │ │ │ │ │ parsing in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61726 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61728 │ │ │ │ │ golang: archive/zip: Excessive CPU consumption when building │ │ │ │ │ │ │ │ archive index in archive/zip │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61728 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61729 │ │ │ │ 1.24.11, 1.25.5 │ crypto/x509: golang: Denial of Service due to excessive │ │ │ │ │ │ │ │ resource consumption via crafted... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61729 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-25679 │ │ │ │ 1.25.8, 1.26.1 │ net/url: Incorrect parsing of IPv6 host literals in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25679 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32280 │ │ │ │ 1.25.9, 1.26.2 │ During chain building, the amount of work that is done is │ │ │ │ │ │ │ │ not... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32280 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32282 │ │ │ │ │ golang: internal/syscall/unix: Root.Chmod can follow │ │ │ │ │ │ │ │ symlinks out of the root │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32282 │ │ ├────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47906 │ MEDIUM │ │ │ 1.23.12, 1.24.6 │ os/exec: Unexpected paths returned from LookPath in os/exec │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47906 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47912 │ │ │ │ 1.24.8, 1.25.2 │ net/url: Insufficient validation of bracketed IPv6 hostnames │ │ │ │ │ │ │ │ in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47912 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58185 │ │ │ │ │ encoding/asn1: Parsing DER payload can cause memory │ │ │ │ │ │ │ │ exhaustion in encoding/asn1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58185 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58186 │ │ │ │ │ golang.org/net/http: Lack of limit when parsing cookies can │ │ │ │ │ │ │ │ cause memory exhaustion in... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58186 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58187 │ │ │ │ 1.24.9, 1.25.3 │ crypto/x509: Quadratic complexity when checking name │ │ │ │ │ │ │ │ constraints in crypto/x509 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58187 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58188 │ │ │ │ 1.24.8, 1.25.2 │ crypto/x509: golang: Panic when validating certificates with │ │ │ │ │ │ │ │ DSA public keys in crypto/x509... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58188 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58189 │ │ │ │ │ crypto/tls: go crypto/tls ALPN negotiation error contains │ │ │ │ │ │ │ │ attacker controlled information │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58189 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61723 │ │ │ │ │ encoding/pem: Quadratic complexity when parsing some invalid │ │ │ │ │ │ │ │ inputs in encoding/pem │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61723 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61724 │ │ │ │ │ net/textproto: Excessive CPU consumption in │ │ │ │ │ │ │ │ Reader.ReadResponse in net/textproto │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61724 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61725 │ │ │ │ │ net/mail: Excessive CPU consumption in ParseAddress in │ │ │ │ │ │ │ │ net/mail │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61725 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61727 │ │ │ │ 1.24.11, 1.25.5 │ golang: crypto/x509: excluded subdomain constraint does not │ │ │ │ │ │ │ │ restrict wildcard SANs │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61727 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61730 │ │ │ │ 1.24.12, 1.25.6 │ During the TLS 1.3 handshake if multiple messages are sent │ │ │ │ │ │ │ │ in records... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61730 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27142 │ │ │ │ 1.25.8, 1.26.1 │ html/template: URLs in meta content attribute actions are │ │ │ │ │ │ │ │ not escaped in html/template... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27142 │ │ ├────────────────┤ │ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32281 │ │ │ │ 1.25.9, 1.26.2 │ crypto/x509: golang: Go crypto/x509: Denial of Service via │ │ │ │ │ │ │ │ inefficient certificate chain validation... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32281 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32288 │ │ │ │ │ archive/tar: golang: Go's archive/tar package: Denial of │ │ │ │ │ │ │ │ Service via maliciously-crafted archive │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32288 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32289 │ │ │ │ │ html/template: golang: html/template: Cross-Site Scripting │ │ │ │ │ │ │ │ (XSS) via improper context and brace depth... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32289 │ │ ├────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-27139 │ LOW │ │ │ 1.25.8, 1.26.1 │ os: FileInfo can escape from a Root in golang os module │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27139 │ │ ├────────────────┼──────────┤ │ ├─────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-32283 │ UNKNOWN │ │ │ 1.25.9, 1.26.2 │ If one side of the TLS connection sends multiple key update │ │ │ │ │ │ │ │ messages... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32283 │ └────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────────────────────────────────────────────┴──────────────────────────────────────────────────────────────┘ opt/bitnami/mysql (bitnami) =========================== Total: 2 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 0, CRITICAL: 1) ┌──────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├──────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ mysql-client │ CVE-2026-32710 │ CRITICAL │ fixed │ 11.4.7-0 │ 11.4.10, 11.8.6, 12.2.2 │ MariaDB: MariaDB: Remote Code Execution or Denial of Service │ │ │ │ │ │ │ │ via JSON_SCHEMA_VALID() function... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32710 │ │ ├────────────────┼──────────┤ │ ├─────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2026-3494 │ MEDIUM │ │ │ 10.6.25, 12.0.2 │ MariaDB: MariaDB: Information disclosure due to unlogged SQL │ │ │ │ │ │ │ │ statements with comments │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-3494 │ └──────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────────┴──────────────────────────────────────────────────────────────┘ /opt/bitnami/grafana/public/app/features/provisioning/Config/ConfigForm.tsx (secrets) ===================================================================================== Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 1) CRITICAL: GitHub (github-pat) ═════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════ GitHub Personal Access Token ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── /opt/bitnami/grafana/public/app/features/provisioning/Config/ConfigForm.tsx:143 (added by 'crane flatten sha256:2294ce271ed6e5bc10f') ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 141 placeholder={t( 142 'provisioning.config-form.placeholder-github-token', 143 [ '****************************************NOP' 144 )} ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── /opt/bitnami/grafana/public/build/9521.6929674f55438051be0f.js (secrets) ======================================================================== Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 1) CRITICAL: GitHub (github-pat) ═════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════ GitHub Personal Access Token ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── /opt/bitnami/grafana/public/build/9521.6929674f55438051be0f.js:1 (added by 'crane flatten sha256:2294ce271ed6e5bc10f') ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 1 [ ","placeholder-github-token":"****************************************NOP","placeholder-gi 2 ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── /opt/bitnami/grafana/public/build/9521.6929674f55438051be0f.js.map (secrets) ============================================================================ Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 1) CRITICAL: GitHub (github-pat) ═════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════ GitHub Personal Access Token ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── /opt/bitnami/grafana/public/build/9521.6929674f55438051be0f.js.map:1 (added by 'crane flatten sha256:2294ce271ed6e5bc10f') ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 1 [ "placeholder-github-token\":\"****************************************NOP\",\"placeholder- ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── /opt/bitnami/grafana/public/build/EditRepositoryPage.c319e59fb84fe9e910d8.js (secrets) ====================================================================================== Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 1) CRITICAL: GitHub (github-pat) ═════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════ GitHub Personal Access Token ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── /opt/bitnami/grafana/public/build/EditRepositoryPage.c319e59fb84fe9e910d8.js:1 (added by 'crane flatten sha256:2294ce271ed6e5bc10f') ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 1 [ rm.placeholder-github-token","****************************************NOP"),isConfigured:e 2 ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── /opt/bitnami/grafana/public/build/EditRepositoryPage.c319e59fb84fe9e910d8.js.map (secrets) ========================================================================================== Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 1) CRITICAL: GitHub (github-pat) ═════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════════ GitHub Personal Access Token ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── /opt/bitnami/grafana/public/build/EditRepositoryPage.c319e59fb84fe9e910d8.js.map:1 (added by 'crane flatten sha256:2294ce271ed6e5bc10f') ───────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 1 [ ken',\n '****************************************NOP'\n ─────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────