¡Hola! Recientemente he descargado la imagen oficial de Docker de Discourse y la he analizado con Trivy (un escáner de seguridad y vulnerabilidades). El resultado muestra varias vulnerabilidades:
$ trivy image --vuln-type library discourse/base:release
...
Node.js (node-pkg)
Total: 19 (UNKNOWN: 0, LOW: 1, MEDIUM: 1, HIGH: 15, CRITICAL: 2)
┌─────────────────────────────────────┬─────────────────────┬──────────┬───────────────────┬────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ansi-html (package.json) │ CVE-2021-23424 │ HIGH │ 0.0.7 │ 0.0.8 │ nodejs-ansi-html: ReDoS mediante cadena elaborada │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-23424 │
├─────────────────────────────────────┼─────────────────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ ansi-regex (package.json) │ CVE-2021-3807 │ │ 3.0.0 │ 3.0.1, 4.1.1, 5.0.1, 6.0.1 │ nodejs-ansi-regex: Denegación de servicio por expresión │
│ │ │ │ │ │ regular (ReDoS) al coincidir códigos de escape ANSI │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3807 │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ ├───────────────────┤ │ │
│ │ │ │ 4.1.0 │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
│ │ │ │ │ │ │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ clean-css (package.json) │ GHSA-wxhq-pm8v-cw75 │ LOW │ 3.4.28 │ 4.1.11 │ Denegación de servicio por expresión regular en clean-css │
│ │ │ │ │ │ https://github.com/advisories/GHSA-wxhq-pm8v-cw75 │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ engine.io (package.json) │ CVE-2023-31125 │ MEDIUM │ 6.2.1 │ 6.4.2 │ Excepción no capturada en engine.io │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-31125 │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ http-cache-semantics (package.json) │ CVE-2022-25881 │ HIGH │ 4.1.0 │ 4.1.1 │ Vulnerabilidad de denegación de servicio por expresión │
│ │ │ │ │ │ regular (ReDoS) │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25881 │
├─────────────────────────────────────┼─────────────────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ json5 (package.json) │ CVE-2022-46175 │ │ 0.5.1 │ 1.0.2, 2.2.2 │ json5: Contaminación de prototipo en JSON5 mediante el │
│ │ │ │ │ │ método Parse │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-46175 │
│ │ │ ├───────────────────┤ │ │
│ │ │ │ 1.0.1 │ │ │
│ │ │ │ │ │ │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ loader-utils (package.json) │ CVE-2022-37601 │ CRITICAL │ 2.0.2 │ 1.4.1, 2.0.3 │ loader-utils: contaminación de prototipo en la función │
│ │ │ │ │ │ parseQuery en parseQuery.js │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-37601 │
│ ├─────────────────────┼──────────┤ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-37599 │ HIGH │ │ 3.2.1, 2.0.4, 1.4.2 │ Se encontró un fallo de denegación de servicio por expresión │
│ │ │ │ │ │ regular (ReDoS) en Funct... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-37599 │
│ ├─────────────────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-37603 │ │ │ │ loader-utils: denegación de servicio por expresión regular │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-37603 │
├─────────────────────────────────────┼─────────────────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ minimatch (package.json) │ CVE-2016-10540 │ │ 0.2.14 │ 3.0.2 │ Minimatch es una utilidad de coincidencia mínima que funciona│
│ │ │ │ │ │ convirtiendo glob ... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2016-10540 │
│ ├─────────────────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2022-3517 │ │ │ 3.0.5 │ ReDoS mediante la función braceExpand │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-3517 │
│ ├─────────────────────┤ │ ├────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ NSWG-ECO-118 │ │ │ >=3.0.2 │ Denegación de servicio por expresión regular │
├─────────────────────────────────────┼─────────────────────┤ ├───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ taffydb (package.json) │ CVE-2019-10790 │ │ 2.6.2 │ │ TaffyDB puede permitir el acceso a cualquier elemento de │
│ │ │ │ │ │ datos en la base de datos │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2019-10790 │
│ │ │ ├───────────────────┼────────────────────────────┤ │
│ │ │ │ 2.7.3 │ │ │
│ │ │ │ │ │ │
├─────────────────────────────────────┼─────────────────────┼──────────┼───────────────────┼────────────────────────────┼──────────────────────────────────────────────────────────────┤
│ underscore (package.json) │ CVE-2021-23358 │ CRITICAL │ 1.3.3 │ 1.12.1 │ nodejs-underscore: ejecución arbitraria de código mediante │
│ │ │ │ │ │ la función template │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-23358 │
└─────────────────────────────────────┴─────────────────────┴──────────┴───────────────────┴────────────────────────────┴──────────────────────────────────────────────────────────────┘
2023-05-16T18:33:20.715+0200 INFO El resultado de la tabla incluye solo nombres de archivos de paquetes. Utiliza la opción '--format json' para obtener la ruta completa del archivo del paquete.
...
Este es un extracto de las vulnerabilidades reportadas, siendo la lista completa de más de 20:
CVE-2015-9284, CVE-2016-10540, CVE-2019-10790, CVE-2020-26235, CVE-2021-23358, CVE-2021-23424, CVE-2021-32810, CVE-2021-3807, CVE-2022-23639, CVE-2022-24713, CVE-2022-25881, CVE-2022-32149, CVE-2022-3517, CVE-2022-37599, CVE-2022-37601, CVE-2022-37603, CVE-2022-46175, CVE-2023-31125, GHSA-2qv5-7mw5-j3cg, GHSA-f85w-wvc7-crwc, GHSA-mc8h-8q98-g5hr, GHSA-rc23-xxgq-x27g, GHSA-wxhq-pm8v-cw75, NSWG-ECO-118
¿Cuál es el estado de estas vulnerabilidades? ¿Tienen previsto abordarlas en una próxima versión?
¡Muchas gracias de antemano!