forked from requarks/wiki
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathtrivy-wikijs-path-v3.txt
107 lines (106 loc) · 28.7 KB
/
trivy-wikijs-path-v3.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
Node.js (node-pkg)
==================
Total: 29 (UNKNOWN: 0, LOW: 0, MEDIUM: 27, HIGH: 2, CRITICAL: 0)
┌─────────────────────────────────────┬─────────────────────┬──────────┬──────────┬───────────────────┬───────────────────────┬─────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├─────────────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ apollo-server (package.json) │ GHSA-2p3c-p3qw-69r4 │ MEDIUM │ fixed │ 2.25.3 │ 2.25.4 │ The graphql-upload library included in Apollo Server 2 is │
│ │ │ │ │ │ │ vulnerable to CSRF... │
│ │ │ │ │ │ │ https://github.com/advisories/GHSA-2p3c-p3qw-69r4 │
├─────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ axios (package.json) │ CVE-2023-45857 │ │ │ 0.27.2 │ 1.6.0, 0.28.0 │ axios: exposure of confidential data stored in cookies │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45857 │
├─────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ cross-fetch (package.json) │ CVE-2022-1365 │ │ │ 1.1.1 │ 3.1.5, 2.2.6 │ cross-fetch: Exposure of Private Personal Information to an │
│ │ │ │ │ │ │ Unauthorized Actor │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-1365 │
│ │ │ │ ├───────────────────┤ │ │
│ │ │ │ │ 3.0.6 │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ ├───────────────────┤ │ │
│ │ │ │ │ 3.1.4 │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
├─────────────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ dicer (package.json) │ CVE-2022-24434 │ HIGH │ affected │ 0.2.5 │ │ dicer: nodejs service crash by sending a crafted payload │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24434 │
│ │ │ │ ├───────────────────┼───────────────────────┤ │
│ │ │ │ │ 0.3.0 │ │ │
│ │ │ │ │ │ │ │
├─────────────────────────────────────┼─────────────────────┼──────────┼──────────┼───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ express (package.json) │ CVE-2024-29041 │ MEDIUM │ fixed │ 4.18.2 │ 4.19.2, 5.0.0-beta.3 │ express: cause malformed URLs to be evaluated │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29041 │
├─────────────────────────────────────┼─────────────────────┤ ├──────────┼───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ express-brute (package.json) │ GHSA-984p-xq9m-4rjw │ │ affected │ 1.0.1 │ │ Rate Limiting Bypass in express-brute │
│ │ │ │ │ │ │ https://github.com/advisories/GHSA-984p-xq9m-4rjw │
├─────────────────────────────────────┼─────────────────────┤ ├──────────┼───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ highlight.js (package.json) │ GHSA-7wwv-vh3v-89cq │ │ fixed │ 10.2.1 │ 10.4.1 │ ReDOS vulnerabities: multiple grammars │
│ │ │ │ │ │ │ https://github.com/advisories/GHSA-7wwv-vh3v-89cq │
│ │ │ │ ├───────────────────┤ │ │
│ │ │ │ │ 10.3.1 │ │ │
│ │ │ │ │ │ │ │
├─────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ jsdom (package.json) │ CVE-2021-20066 │ │ │ 16.4.0 │ 16.5.0 │ jsdom: improper loading of local resources │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-20066 │
├─────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ katex (package.json) │ CVE-2024-28243 │ │ │ 0.12.0 │ 0.16.10 │ KaTeX is a JavaScript library for TeX math rendering on the │
│ │ │ │ │ │ │ web.... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28243 │
│ ├─────────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2024-28245 │ │ │ │ │ KaTeX is a JavaScript library for TeX math rendering on the │
│ │ │ │ │ │ │ web.... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28245 │
│ ├─────────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2024-28246 │ │ │ │ │ KaTeX is a JavaScript library for TeX math rendering on the │
│ │ │ │ │ │ │ web.... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-28246 │
├─────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ markdown-it (package.json) │ CVE-2022-21670 │ │ │ 11.0.1 │ 12.3.2 │ markdown-it is a Markdown parser. Prior to version 1.3.2, │
│ │ │ │ │ │ │ special patt ...... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-21670 │
├─────────────────────────────────────┼─────────────────────┤ ├──────────┼───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ markdown-it-decorate (package.json) │ CVE-2020-28459 │ │ affected │ 1.2.2 │ │ markdown-it-decorate vulnerable to cross-site scripting │
│ │ │ │ │ │ │ (XSS) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-28459 │
├─────────────────────────────────────┼─────────────────────┤ ├──────────┼───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ mongodb (package.json) │ CVE-2021-32050 │ │ fixed │ 3.6.5 │ 3.6.10, 4.17.0, 5.8.0 │ Some MongoDB Drivers may erroneously publish events │
│ │ │ │ │ │ │ containing authent ... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-32050 │
├─────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ nodemailer (package.json) │ GHSA-9h6g-pr28-7cqp │ │ │ 6.9.1 │ 6.9.9 │ nodemailer ReDoS when trying to send a specially crafted │
│ │ │ │ │ │ │ email │
│ │ │ │ │ │ │ https://github.com/advisories/GHSA-9h6g-pr28-7cqp │
├─────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ passport (package.json) │ CVE-2022-25896 │ │ │ 0.4.1 │ 0.6.0 │ passport: incorrect session regeneration │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25896 │
├─────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ passport-oauth2 (package.json) │ CVE-2021-41580 │ │ │ 1.2.0 │ 1.6.1 │ Improper Access Control in passport-oauth2 │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-41580 │
├─────────────────────────────────────┼─────────────────────┤ ├──────────┼───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ request (package.json) │ CVE-2023-28155 │ │ affected │ 2.88.2 │ │ The Request package through 2.88.1 for Node.js allows a │
│ │ │ │ │ │ │ bypass of SSRF... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28155 │
├─────────────────────────────────────┼─────────────────────┤ ├──────────┼───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ semver (package.json) │ CVE-2022-25883 │ │ fixed │ 4.3.2 │ 7.5.2, 6.3.1, 5.7.2 │ nodejs-semver: Regular expression denial of service │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-25883 │
│ │ │ │ ├───────────────────┤ │ │
│ │ │ │ │ 7.3.8 │ │ │
│ │ │ │ │ │ │ │
├─────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ tough-cookie (package.json) │ CVE-2023-26136 │ │ │ 2.5.0 │ 4.1.3 │ tough-cookie: prototype pollution in cookie memstore │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26136 │
│ │ │ │ ├───────────────────┤ │ │
│ │ │ │ │ 3.0.1 │ │ │
│ │ │ │ │ │ │ │
├─────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ ws (package.json) │ CVE-2021-32640 │ │ │ 7.4.5 │ 7.4.6, 6.2.2, 5.2.3 │ nodejs-ws: Specially crafted value of the │
│ │ │ │ │ │ │ `Sec-Websocket-Protocol` header can be used to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-32640 │
├─────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼───────────────────────┼─────────────────────────────────────────────────────────────┤
│ xml2js (package.json) │ CVE-2023-0842 │ │ │ 0.4.19 │ 0.5.0 │ node-xml2js: xml2js is vulnerable to prototype pollution │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-0842 │
│ │ │ │ ├───────────────────┤ │ │
│ │ │ │ │ 0.4.23 │ │ │
│ │ │ │ │ │ │ │
└─────────────────────────────────────┴─────────────────────┴──────────┴──────────┴───────────────────┴───────────────────────┴─────────────────────────────────────────────────────────────┘