False detection for CVE-2024-45491 on Red Hat UBI8 and UBI9 #8059

jhebden-gl · 2024-12-06T04:16:53Z

jhebden-gl
Dec 6, 2024

IDs

CVE-2024-45491

Description

On both UBI8 and UBI9 (RHEL8 and RHEL9) based images with expat installed, CVE-2024-45491 is being detected on non-vulnerable versions of the expat package.

Per Red Hat, the errata for each is:

RHSA-2024:6754 for RHEL9 (fixed version expat-2.5.0-2.el9_4.1)
RHSA-2024:6989 for RHEL8 (fixed version expat-2.2.5-15.el8_10)

I've seen detections showing a status of StatusWillNotFix for both expat 2.5.0-2.el9_4 and expat 2.2.5-16.el8_10, both of which should carry this fix from Red Hat for these vulnerabilities.

I have manually checked the Trivy DB for this information, and it seems correct. Whilst there are StatusWillNotFix entries for both covering RHEL8 and RHEL9 (which is potentially incorrect?), the presence of linked errata in the Trivy DB should override this given there is a FixedVersion set on both sets of errata. I suspect perhaps Trivy is processing this information incorrectly, or the StatusWillNotFix data against the CVEs against the expat package is unexpected?

The ultimate outcome here would be that these images with these packages would show no detections, as they are not vulnerable.

Reproduction Steps

1. Scan image UBI8 (registry.access.redhat.com/ubi8/ubi) or UBI9 (registry.access.redhat.com/ubi9/ubi)
2. Confirm `expat` package is installed in the image, however it should be present by default
3. Review results

Target

Container Image

Scanner

Vulnerability

Target OS

Red Hat 8, 9 (UBI8, UBI9)

Debug Output

2024-12-06T15:16:06+11:00	DEBUG	No plugins loaded
2024-12-06T15:16:06+11:00	DEBUG	Default config file "file_path=trivy.yaml" not found, using built in values
2024-12-06T15:16:06+11:00	DEBUG	Cache dir	dir="/home/james/.cache/trivy"
2024-12-06T15:16:06+11:00	DEBUG	Cache dir	dir="/home/james/.cache/trivy"
2024-12-06T15:16:06+11:00	DEBUG	Parsed severities	severities=[UNKNOWN LOW MEDIUM HIGH CRITICAL]
2024-12-06T15:16:06+11:00	DEBUG	Ignore statuses	statuses=[]
2024-12-06T15:16:06+11:00	DEBUG	DB update was skipped because the local DB is the latest
2024-12-06T15:16:06+11:00	DEBUG	DB info	schema=2 updated_at=2024-12-06T00:22:15.449191802Z next_update=2024-12-07T00:22:15.449178708Z downloaded_at=2024-12-06T00:37:31.56714262Z
2024-12-06T15:16:06+11:00	DEBUG	[pkg] Package types	types=[os library]
2024-12-06T15:16:06+11:00	DEBUG	[pkg] Package relationships	relationships=[unknown root direct indirect]
2024-12-06T15:16:06+11:00	INFO	[vuln] Vulnerability scanning is enabled
2024-12-06T15:16:06+11:00	DEBUG	Enabling misconfiguration scanners	scanners=[azure-arm cloudformation dockerfile helm kubernetes terraform terraformplan-json terraformplan-snapshot]
2024-12-06T15:16:06+11:00	DEBUG	Initializing scan cache...	type="fs"
2024-12-06T15:16:09+11:00	DEBUG	[image] Detected image ID	image_id="sha256:297785131ee3b3262076d7b19665ad682c4e546f362a88953b13ea73b50dae32"
2024-12-06T15:16:09+11:00	DEBUG	[image] Detected diff ID	diff_ids=[sha256:3200b171908c5b74d4e1781a79a0fc729b13c29fc3ce70687384c8cc349f509d]
2024-12-06T15:16:09+11:00	DEBUG	[image] Detected base layers	diff_ids=[]
2024-12-06T15:16:09+11:00	INFO	Detected OS	family="redhat" version="8.10"
2024-12-06T15:16:09+11:00	INFO	[redhat] Detecting RHEL/CentOS vulnerabilities...	os_version="8" pkg_num=183
2024-12-06T15:16:09+11:00	INFO	Number of language-specific files	num=0
2024-12-06T15:16:09+11:00	WARN	Using severities from other vendors for some vulnerabilities. Read https://aquasecurity.github.io/trivy/v0.57/docs/scanner/vulnerability#severity-selection for details.
2024-12-06T15:16:09+11:00	DEBUG	[vex] VEX filtering is disabled

registry.access.redhat.com/ubi8/ubi (redhat 8.10)
=================================================
Total: 185 (UNKNOWN: 0, LOW: 163, MEDIUM: 22, HIGH: 0, CRITICAL: 0)

┌─────────────────────────────┬──────────────────┬──────────┬─────────────────────┬───────────────────────┬─────────────────┬──────────────────────────────────────────────────────────────┐
│           Library           │  Vulnerability   │ Severity │       Status        │   Installed Version   │  Fixed Version  │                            Title                             │
├─────────────────────────────┼──────────────────┼──────────┼─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ curl                        │ CVE-2023-27534   │ LOW      │ will_not_fix        │ 7.61.1-34.el8_10.2    │                 │ curl: SFTP path ~ resolving discrepancy                      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-27534                   │
├─────────────────────────────┼──────────────────┤          │                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ dbus                        │ CVE-2020-35512   │          │                     │ 1:1.12.8-26.el8       │                 │ dbus: users with the same numeric UID could lead to          │
│                             │                  │          │                     │                       │                 │ use-after-free and...                                        │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-35512                   │
├─────────────────────────────┤                  │          │                     │                       ├─────────────────┤                                                              │
│ dbus-common                 │                  │          │                     │                       │                 │                                                              │
│                             │                  │          │                     │                       │                 │                                                              │
│                             │                  │          │                     │                       │                 │                                                              │
├─────────────────────────────┤                  │          │                     │                       ├─────────────────┤                                                              │
│ dbus-daemon                 │                  │          │                     │                       │                 │                                                              │
│                             │                  │          │                     │                       │                 │                                                              │
│                             │                  │          │                     │                       │                 │                                                              │
├─────────────────────────────┤                  │          │                     │                       ├─────────────────┤                                                              │
│ dbus-libs                   │                  │          │                     │                       │                 │                                                              │
│                             │                  │          │                     │                       │                 │                                                              │
│                             │                  │          │                     │                       │                 │                                                              │
├─────────────────────────────┤                  │          │                     │                       ├─────────────────┤                                                              │
│ dbus-tools                  │                  │          │                     │                       │                 │                                                              │
│                             │                  │          │                     │                       │                 │                                                              │
│                             │                  │          │                     │                       │                 │                                                              │
├─────────────────────────────┼──────────────────┤          │                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ elfutils-default-yama-scope │ CVE-2021-33294   │          │                     │ 0.190-2.el8           │                 │ elfutils: an infinite loop was found in the function         │
│                             │                  │          │                     │                       │                 │ handle_symtab in readelf.c...                                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-33294                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-25260   │          │                     │                       │                 │ elfutils: global-buffer-overflow exists in the function      │
│                             │                  │          │                     │                       │                 │ ebl_machine_flag_name in eblmachineflagname.c                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-25260                   │
├─────────────────────────────┼──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│ elfutils-libelf             │ CVE-2021-33294   │          │                     │                       │                 │ elfutils: an infinite loop was found in the function         │
│                             │                  │          │                     │                       │                 │ handle_symtab in readelf.c...                                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-33294                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-25260   │          │                     │                       │                 │ elfutils: global-buffer-overflow exists in the function      │
│                             │                  │          │                     │                       │                 │ ebl_machine_flag_name in eblmachineflagname.c                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-25260                   │
├─────────────────────────────┼──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│ elfutils-libs               │ CVE-2021-33294   │          │                     │                       │                 │ elfutils: an infinite loop was found in the function         │
│                             │                  │          │                     │                       │                 │ handle_symtab in readelf.c...                                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-33294                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-25260   │          │                     │                       │                 │ elfutils: global-buffer-overflow exists in the function      │
│                             │                  │          │                     │                       │                 │ ebl_machine_flag_name in eblmachineflagname.c                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-25260                   │
├─────────────────────────────┼──────────────────┼──────────┤                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ expat                       │ CVE-2022-23990   │ MEDIUM   │                     │ 2.2.5-16.el8_10       │                 │ expat: integer overflow in the doProlog function             │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-23990                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-45491   │          │                     │                       │                 │ libexpat: Integer Overflow or Wraparound                     │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-45491                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-45492   │          │                     │                       │                 │ libexpat: integer overflow                                   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-45492                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-50602   │          │ affected            │                       │                 │ libexpat: expat: DoS via XML_ResumeParser                    │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-50602                   │
├─────────────────────────────┼──────────────────┼──────────┼─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ file-libs                   │ CVE-2019-8905    │ LOW      │ will_not_fix        │ 5.33-26.el8           │                 │ file: stack-based buffer over-read in do_core_note in        │
│                             │                  │          │                     │                       │                 │ readelf.c                                                    │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2019-8905                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2019-8906    │          │                     │                       │                 │ file: out-of-bounds read in do_core_note in readelf.c        │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2019-8906                    │
├─────────────────────────────┼──────────────────┤          │                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ gawk                        │ CVE-2023-4156    │          │                     │ 4.2.1-4.el8           │                 │ gawk: heap out of bound read in builtin.c                    │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-4156                    │
├─────────────────────────────┼──────────────────┤          │                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ gdb-gdbserver               │ CVE-2022-47007   │          │                     │ 8.2-20.el8            │                 │ binutils: memory leak in stab_demangle_v3_arg() in stabs.c   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-47007                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-47010   │          │                     │                       │                 │ binutils: memory leak in pr_function_type() in prdbg.c       │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-47010                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-47011   │          │                     │                       │                 │ binutils: memory leak in parse_stab_struct_fields() in       │
│                             │                  │          │                     │                       │                 │ stabs.c                                                      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-47011                   │
├─────────────────────────────┼──────────────────┼──────────┤                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ glib2                       │ CVE-2024-34397   │ MEDIUM   │                     │ 2.56.4-165.el8_10     │                 │ glib2: Signal subscription vulnerabilities                   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-34397                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-52533   │          │ affected            │                       │                 │ glib: buffer overflow in set_connect_msg()                   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-52533                   │
│                             ├──────────────────┼──────────┤                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-29499   │ LOW      │                     │                       │                 │ glib: GVariant offset table entry size is not checked in     │
│                             │                  │          │                     │                       │                 │ is_normal()                                                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-29499                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-32611   │          │                     │                       │                 │ glib: g_variant_byteswap() can take a long time with some    │
│                             │                  │          │                     │                       │                 │ non-normal inputs                                            │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-32611                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-32636   │          │ will_not_fix        │                       │                 │ glib: Timeout in fuzz_variant_text                           │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-32636                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-32665   │          │ affected            │                       │                 │ glib: GVariant deserialisation does not match spec for       │
│                             │                  │          │                     │                       │                 │ non-normal data                                              │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-32665                   │
├─────────────────────────────┼──────────────────┤          ├─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ gnupg2                      │ CVE-2022-3219    │          │ will_not_fix        │ 2.2.20-3.el8_6        │                 │ gnupg: denial of service issue (resource consumption) using  │
│                             │                  │          │                     │                       │                 │ compressed packets                                           │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
├─────────────────────────────┼──────────────────┤          │                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ gnutls                      │ CVE-2021-4209    │          │                     │ 3.6.16-8.el8_9.3      │                 │ GnuTLS: Null pointer dereference in MD_UPDATE                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-4209                    │
├─────────────────────────────┼──────────────────┼──────────┼─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ krb5-libs                   │ CVE-2020-17049   │ MEDIUM   │ affected            │ 1.18.2-30.el8_10      │                 │ Kerberos: delegation constrain bypass in S4U2Proxy           │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-17049                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-5455    │          │                     │                       │                 │ ipa: Invalid CSRF protection                                 │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-5455                    │
├─────────────────────────────┼──────────────────┼──────────┼─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ libarchive                  │ CVE-2018-1000879 │ LOW      │ will_not_fix        │ 3.3.3-5.el8           │                 │ libarchive: NULL pointer dereference in ACL parser resulting │
│                             │                  │          │                     │                       │                 │ in a denial of...                                            │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-1000879                 │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2018-1000880 │          │                     │                       │                 │ libarchive: Improper input validation in WARC parser         │
│                             │                  │          │                     │                       │                 │ resulting in a denial of...                                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-1000880                 │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-21674   │          │                     │                       │                 │ libarchive: heap-based buffer overflow in                    │
│                             │                  │          │                     │                       │                 │ archive_string_append_from_wcs function in archive_string.c  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-21674                   │
├─────────────────────────────┼──────────────────┤          │                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ libcurl                     │ CVE-2023-27534   │          │                     │ 7.61.1-34.el8_10.2    │                 │ curl: SFTP path ~ resolving discrepancy                      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-27534                   │
├─────────────────────────────┼──────────────────┤          │                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc                      │ CVE-2018-20657   │          │                     │ 8.5.0-22.el8_10       │                 │ libiberty: Memory leak in demangle_template function         │
│                             │                  │          │                     │                       │                 │ resulting in a denial of service...                          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-20657                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2019-14250   │          │                     │                       │                 │ binutils: integer overflow in simple-object-elf.c leads to a │
│                             │                  │          │                     │                       │                 │ heap-based buffer overflow                                   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2019-14250                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-27943   │          │                     │                       │                 │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                             │                  │          │                     │                       │                 │ stack exhaustion in demangle_const                           │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├─────────────────────────────┼──────────────────┼──────────┤                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt                   │ CVE-2019-12904   │ MEDIUM   │                     │ 1.8.5-7.el8_6         │                 │ Libgcrypt: physical addresses being available to other       │
│                             │                  │          │                     │                       │                 │ processes leads to a flush-and-reload...                     │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2019-12904                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-2236    │          │ affected            │                       │                 │ libgcrypt: vulnerable to Marvin Attack                       │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-2236                    │
├─────────────────────────────┼──────────────────┼──────────┼─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++                   │ CVE-2018-20657   │ LOW      │ will_not_fix        │ 8.5.0-22.el8_10       │                 │ libiberty: Memory leak in demangle_template function         │
│                             │                  │          │                     │                       │                 │ resulting in a denial of service...                          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-20657                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2019-14250   │          │                     │                       │                 │ binutils: integer overflow in simple-object-elf.c leads to a │
│                             │                  │          │                     │                       │                 │ heap-based buffer overflow                                   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2019-14250                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-27943   │          │                     │                       │                 │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                             │                  │          │                     │                       │                 │ stack exhaustion in demangle_const                           │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├─────────────────────────────┼──────────────────┤          │                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ libtasn1                    │ CVE-2018-1000654 │          │                     │ 4.13-4.el8_7          │                 │ libtasn1: Infinite loop in _asn1_expand_object_id(ptree)     │
│                             │                  │          │                     │                       │                 │ leads to memory exhaustion                                   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-1000654                 │
├─────────────────────────────┼──────────────────┤          │                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ libxml2                     │ CVE-2023-45322   │          │                     │ 2.9.7-18.el8_10.1     │                 │ libxml2: use-after-free in xmlUnlinkNode() in tree.c         │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-45322                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-34459   │          │ affected            │                       │                 │ libxml2: buffer over-read in xmlHTMLPrintFileContext in      │
│                             │                  │          │                     │                       │                 │ xmllint.c                                                    │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-34459                   │
├─────────────────────────────┼──────────────────┼──────────┼─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ libyaml                     │ CVE-2024-35325   │ MEDIUM   │ under_investigation │ 0.1.7-5.el8           │                 │ libyaml: double-free in yaml_event_delete in                 │
│                             │                  │          │                     │                       │                 │ /src/libyaml/src/api.c                                       │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-35325                   │
├─────────────────────────────┼──────────────────┼──────────┼─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ libzstd                     │ CVE-2021-24032   │ LOW      │ will_not_fix        │ 1.4.4-1.el8           │                 │ zstd: Race condition allows attacker to access               │
│                             │                  │          │                     │                       │                 │ world-readable destination file                              │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-24032                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-4899    │          │                     │                       │                 │ zstd: mysql: buffer overrun in util.c                        │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-4899                    │
├─────────────────────────────┼──────────────────┼──────────┼─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ lua-libs                    │ CVE-2020-15945   │ MEDIUM   │ affected            │ 5.3.4-12.el8          │                 │ lua: segmentation fault in changedline in ldebug.c           │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-15945                   │
├─────────────────────────────┼──────────────────┤          ├─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ lz4-libs                    │ CVE-2019-17543   │          │ will_not_fix        │ 1.8.3-3.el8_4         │                 │ lz4: heap-based buffer overflow in LZ4_write32               │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2019-17543                   │
├─────────────────────────────┼──────────────────┼──────────┤                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base                │ CVE-2018-19211   │ LOW      │                     │ 6.1-10.20180224.el8   │                 │ ncurses: Null pointer dereference at function                │
│                             │                  │          │                     │                       │                 │ _nc_parse_entry in parse_entry.c                             │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-19211                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2018-19217   │          │                     │                       │                 │ ncurses: Null pointer dereference at function _nc_name_match │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-19217                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-19185   │          │                     │                       │                 │ ncurses: Heap buffer overflow in one_one_mapping function in │
│                             │                  │          │                     │                       │                 │ progs/dump_entry.c:1373                                      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-19185                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-19186   │          │                     │                       │                 │ ncurses: Buffer overflow in _nc_find_entry function in       │
│                             │                  │          │                     │                       │                 │ tinfo/comp_hash.c:66                                         │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-19186                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-19187   │          │                     │                       │                 │ ncurses: Heap buffer overflow in fmt_entry function in       │
│                             │                  │          │                     │                       │                 │ progs/dump_entry.c:1100                                      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-19187                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-19188   │          │ affected            │                       │                 │ ncurses: Stack buffer overflow in fmt_entry function in      │
│                             │                  │          │                     │                       │                 │ progs/dump_entry.c:1116                                      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-19188                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-19189   │          │ will_not_fix        │                       │                 │ ncurses: Heap buffer overflow in postprocess_terminfo        │
│                             │                  │          │                     │                       │                 │ function in tinfo/parse_entry.c:997                          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-19189                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-19190   │          │                     │                       │                 │ ncurses: Heap buffer overflow in _nc_find_entry in           │
│                             │                  │          │                     │                       │                 │ tinfo/comp_hash.c:70                                         │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-19190                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2021-39537   │          │ affected            │                       │                 │ ncurses: heap-based buffer overflow in _nc_captoinfo() in    │
│                             │                  │          │                     │                       │                 │ captoinfo.c                                                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-39537                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-45918   │          │                     │                       │                 │ ncurses: NULL pointer dereference in tgetstr in              │
│                             │                  │          │                     │                       │                 │ tinfo/lib_termcap.c                                          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-50495   │          │ will_not_fix        │                       │                 │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├─────────────────────────────┼──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-libs                │ CVE-2018-19211   │          │                     │                       │                 │ ncurses: Null pointer dereference at function                │
│                             │                  │          │                     │                       │                 │ _nc_parse_entry in parse_entry.c                             │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-19211                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2018-19217   │          │                     │                       │                 │ ncurses: Null pointer dereference at function _nc_name_match │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-19217                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-19185   │          │                     │                       │                 │ ncurses: Heap buffer overflow in one_one_mapping function in │
│                             │                  │          │                     │                       │                 │ progs/dump_entry.c:1373                                      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-19185                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-19186   │          │                     │                       │                 │ ncurses: Buffer overflow in _nc_find_entry function in       │
│                             │                  │          │                     │                       │                 │ tinfo/comp_hash.c:66                                         │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-19186                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-19187   │          │                     │                       │                 │ ncurses: Heap buffer overflow in fmt_entry function in       │
│                             │                  │          │                     │                       │                 │ progs/dump_entry.c:1100                                      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-19187                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-19188   │          │ affected            │                       │                 │ ncurses: Stack buffer overflow in fmt_entry function in      │
│                             │                  │          │                     │                       │                 │ progs/dump_entry.c:1116                                      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-19188                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-19189   │          │ will_not_fix        │                       │                 │ ncurses: Heap buffer overflow in postprocess_terminfo        │
│                             │                  │          │                     │                       │                 │ function in tinfo/parse_entry.c:997                          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-19189                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-19190   │          │                     │                       │                 │ ncurses: Heap buffer overflow in _nc_find_entry in           │
│                             │                  │          │                     │                       │                 │ tinfo/comp_hash.c:70                                         │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-19190                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2021-39537   │          │ affected            │                       │                 │ ncurses: heap-based buffer overflow in _nc_captoinfo() in    │
│                             │                  │          │                     │                       │                 │ captoinfo.c                                                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-39537                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-45918   │          │                     │                       │                 │ ncurses: NULL pointer dereference in tgetstr in              │
│                             │                  │          │                     │                       │                 │ tinfo/lib_termcap.c                                          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-45918                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-50495   │          │ will_not_fix        │                       │                 │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
├─────────────────────────────┼──────────────────┤          │                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ openssl-libs                │ CVE-2023-0464    │          │                     │ 1:1.1.1k-14.el8_6     │                 │ openssl: Denial of service by excessive resource usage in    │
│                             │                  │          │                     │                       │                 │ verifying X509 policy...                                     │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-0464                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-0465    │          │                     │                       │                 │ openssl: Invalid certificate policies in leaf certificates   │
│                             │                  │          │                     │                       │                 │ are silently ignored                                         │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-0465                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-0466    │          │                     │                       │                 │ openssl: Certificate policy check not enabled                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-0466                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-2650    │          │                     │                       │                 │ openssl: Possible DoS translating ASN.1 object identifiers   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-2650                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-0727    │          │                     │                       │                 │ openssl: denial of service via null dereference              │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-0727                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-2511    │          │                     │                       │                 │ openssl: Unbounded memory growth with session handling in    │
│                             │                  │          │                     │                       │                 │ TLSv1.3                                                      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-2511                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-41996   │          │                     │                       │                 │ openssl: remote attackers (from the client side) to trigger  │
│                             │                  │          │                     │                       │                 │ unnecessarily expensive server-side...                       │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-41996                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-4741    │          │                     │                       │                 │ openssl: Use After Free with SSL_free_buffers                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-4741                    │
├─────────────────────────────┼──────────────────┤          │                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ pcre2                       │ CVE-2022-41409   │          │                     │ 10.32-3.el8_6         │                 │ pcre2: negative repeat value in a pcre2test subject line     │
│                             │                  │          │                     │                       │                 │ leads to inifinite...                                        │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-41409                   │
├─────────────────────────────┼──────────────────┼──────────┼─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ platform-python             │ CVE-2024-11168   │ MEDIUM   │ fixed               │ 3.6.8-67.el8_10       │ 3.6.8-69.el8_10 │ python: Improper validation of IPv6 and IPvFuture addresses  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-11168                   │
│                             ├──────────────────┤          │                     │                       │                 ├──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-9287    │          │                     │                       │                 │ python: Virtual environment (venv) activation scripts don't  │
│                             │                  │          │                     │                       │                 │ quote paths                                                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-9287                    │
├─────────────────────────────┼──────────────────┤          │                     │                       │                 ├──────────────────────────────────────────────────────────────┤
│ python3-libs                │ CVE-2024-11168   │          │                     │                       │                 │ python: Improper validation of IPv6 and IPvFuture addresses  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-11168                   │
│                             ├──────────────────┤          │                     │                       │                 ├──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-9287    │          │                     │                       │                 │ python: Virtual environment (venv) activation scripts don't  │
│                             │                  │          │                     │                       │                 │ quote paths                                                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-9287                    │
├─────────────────────────────┼──────────────────┼──────────┼─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ python3-pip-wheel           │ CVE-2018-20225   │ LOW      │ will_not_fix        │ 9.0.3-24.el8          │                 │ python-pip: when --extra-index-url option is used and        │
│                             │                  │          │                     │                       │                 │ package does not already exist...                            │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-20225                   │
├─────────────────────────────┼──────────────────┤          │                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ sqlite-libs                 │ CVE-2019-19244   │          │                     │ 3.26.0-19.el8_9       │                 │ sqlite: allows a crash if a sub-select uses both DISTINCT    │
│                             │                  │          │                     │                       │                 │ and window...                                                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2019-19244                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2019-9936    │          │                     │                       │                 │ sqlite: heap-based buffer over-read in function              │
│                             │                  │          │                     │                       │                 │ fts5HashEntrySort in sqlite3.c                               │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2019-9936                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2019-9937    │          │                     │                       │                 │ sqlite: null-pointer dereference in function                 │
│                             │                  │          │                     │                       │                 │ fts5ChunkIterate in sqlite3.c                                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2019-9937                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-36191   │          │                     │                       │                 │ sqlite: CLI fault on missing -nonce                          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-36191                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-0232    │          │ affected            │                       │                 │ sqlite: use-after-free bug in jsonParseAddNodeArray          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-0232                    │
├─────────────────────────────┼──────────────────┼──────────┼─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ systemd                     │ CVE-2018-20839   │ MEDIUM   │ will_not_fix        │ 239-82.el8_10.2       │                 │ systemd: mishandling of the current keyboard mode check      │
│                             │                  │          │                     │                       │                 │ leading to passwords being...                                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-20839                   │
│                             ├──────────────────┼──────────┤                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2021-3997    │ LOW      │                     │                       │                 │ systemd: Uncontrolled recursion in systemd-tmpfiles when     │
│                             │                  │          │                     │                       │                 │ removing files                                               │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-3997                    │
├─────────────────────────────┼──────────────────┼──────────┤                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│ systemd-libs                │ CVE-2018-20839   │ MEDIUM   │                     │                       │                 │ systemd: mishandling of the current keyboard mode check      │
│                             │                  │          │                     │                       │                 │ leading to passwords being...                                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-20839                   │
│                             ├──────────────────┼──────────┤                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2021-3997    │ LOW      │                     │                       │                 │ systemd: Uncontrolled recursion in systemd-tmpfiles when     │
│                             │                  │          │                     │                       │                 │ removing files                                               │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-3997                    │
├─────────────────────────────┼──────────────────┼──────────┤                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│ systemd-pam                 │ CVE-2018-20839   │ MEDIUM   │                     │                       │                 │ systemd: mishandling of the current keyboard mode check      │
│                             │                  │          │                     │                       │                 │ leading to passwords being...                                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-20839                   │
│                             ├──────────────────┼──────────┤                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2021-3997    │ LOW      │                     │                       │                 │ systemd: Uncontrolled recursion in systemd-tmpfiles when     │
│                             │                  │          │                     │                       │                 │ removing files                                               │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-3997                    │
├─────────────────────────────┼──────────────────┼──────────┤                     ├───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ tar                         │ CVE-2005-2541    │ MEDIUM   │                     │ 2:1.30-9.el8          │                 │ tar: does not properly warn the user when extracting setuid  │
│                             │                  │          │                     │                       │                 │ or setgid...                                                 │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2005-2541                    │
│                             ├──────────────────┼──────────┤                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2019-9923    │ LOW      │                     │                       │                 │ tar: null-pointer dereference in pax_decode_header in        │
│                             │                  │          │                     │                       │                 │ sparse.c                                                     │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2019-9923                    │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2021-20193   │          │ affected            │                       │                 │ tar: Memory leak in read_header() in list.c                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-20193                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-39804   │          │ will_not_fix        │                       │                 │ tar: Incorrectly handled extension attributes in PAX         │
│                             │                  │          │                     │                       │                 │ archives can lead to a...                                    │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-39804                   │
├─────────────────────────────┼──────────────────┼──────────┼─────────────────────┼───────────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤
│ vim-minimal                 │ CVE-2024-43790   │ MEDIUM   │ affected            │ 2:8.0.1763-19.el8_6.4 │                 │ vim: Out of bounds read when performing a search command     │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-43790                   │
│                             ├──────────────────┼──────────┼─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2018-20786   │ LOW      │ will_not_fix        │                       │                 │ libvterm: NULL pointer dereference in                        │
│                             │                  │          │                     │                       │                 │ vterm_screen_set_callbacks                                   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2018-20786                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2020-20703   │          │ affected            │                       │                 │ vim: buffer overflow                                         │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2020-20703                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2021-3236    │          │ will_not_fix        │                       │                 │ vim: NULL pointer dereference in ex_buffer_all method        │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-3236                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2021-3927    │          │                     │                       │                 │ vim: heap-based buffer overflow in gchar_cursor() in misc1.c │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-3927                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2021-3974    │          │                     │                       │                 │ vim: Use after free in regexp_nfa.c                          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-3974                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2021-4166    │          │                     │                       │                 │ vim: out-of-bounds read in do_arg_all() in src/arglist.c     │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2021-4166                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-0351    │          │                     │                       │                 │ vim: access of memory location before start of buffer        │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-0351                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-1619    │          │                     │                       │                 │ vim: heap-buffer-overflow in cmdline_erase_chars of          │
│                             │                  │          │                     │                       │                 │ ex_getln.c                                                   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-1619                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-1720    │          │                     │                       │                 │ vim: buffer over-read in grab_file_name() in findfile.c      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-1720                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2124    │          │                     │                       │                 │ vim: out of bounds read in current_quote()                   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2124                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2125    │          │                     │                       │                 │ vim: Heap-based Buffer Overflow in get_lisp_indent()         │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2125                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2126    │          │                     │                       │                 │ vim: out of bounds read in suggest_trie_walk()               │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2126                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2129    │          │                     │                       │                 │ vim: out of bounds write in vim_regsub_both()                │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2129                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2175    │          │                     │                       │                 │ vim: buffer over-read in put_on_cmdline() at ex_getln.c      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2175                    │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2182    │          │ affected            │                       │                 │ vim: heap-based buffer overflow through parse_cmd_address()  │
│                             │                  │          │                     │                       │                 │ in function utf_ptr2char                                     │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2182                    │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2183    │          │ will_not_fix        │                       │                 │ vim: out-of-bounds read through get_lisp_indent() in         │
│                             │                  │          │                     │                       │                 │ function get_lisp_indent                                     │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2183                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2206    │          │                     │                       │                 │ vim: out-of-bound read in function msg_outtrans_attr         │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2206                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2207    │          │                     │                       │                 │ vim: heap-based buffer overflow in function ins_bs           │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2207                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2208    │          │                     │                       │                 │ vim: null pointer dereference in function diff_check         │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2208                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2210    │          │                     │                       │                 │ vim: out-of-bound write in function ml_append_int            │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2210                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2284    │          │                     │                       │                 │ vim: out of bounds read in utfc_ptr2len() at mbyte.c         │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2284                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2285    │          │                     │                       │                 │ vim: integer overflow in del_typebuf() at getchar.c          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2285                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2286    │          │                     │                       │                 │ vim: out of bounds read in ins_bytes() at change.c           │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2286                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2287    │          │                     │                       │                 │ vim: out of bounds read in suggest_trie_walk() at            │
│                             │                  │          │                     │                       │                 │ spellsuggest.c                                               │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2287                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2343    │          │                     │                       │                 │ vim: heap-based buffer overflow in ins_compl_add() in        │
│                             │                  │          │                     │                       │                 │ insexpand.c                                                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2343                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2344    │          │                     │                       │                 │ vim: heap-based buffer overflow in ins_compl_add() in        │
│                             │                  │          │                     │                       │                 │ insexpand.c                                                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2344                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2345    │          │                     │                       │                 │ vim: use-after-free in skipwhite() in charset.c              │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2345                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2522    │          │                     │                       │                 │ vim: heap-based buffer overflow in                           │
│                             │                  │          │                     │                       │                 │ ins_compl_infercase_gettext() at src/insexpand.c             │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2522                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2819    │          │                     │                       │                 │ vim: heap buffer overflow in compile_lock_unlock() at        │
│                             │                  │          │                     │                       │                 │ src/vim9cmds.c                                               │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2819                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2845    │          │                     │                       │                 │ vim: Buffer Under-read                                       │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2845                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2849    │          │                     │                       │                 │ vim: heap-based buffer overflow in latin_ptr2len() at        │
│                             │                  │          │                     │                       │                 │ src/mbyte.c                                                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2849                    │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2923    │          │ affected            │                       │                 │ vim: null pointer dereference in function sug_filltree       │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2923                    │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2946    │          │ will_not_fix        │                       │                 │ vim: use after free in function vim_vsnprintf_typval         │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2946                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-2980    │          │                     │                       │                 │ vim: null pointer dereference in do_mouse() at src/mouse.c   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-2980                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-3037    │          │                     │                       │                 │ vim: use after free in function qf_buf_add_line( )           │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-3037                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-3153    │          │                     │                       │                 │ vim: null pointer dereference in vim_regcomp()               │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-3153                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-3234    │          │                     │                       │                 │ vim: Heap-based Buffer Overflow                              │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-3234                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-3235    │          │                     │                       │                 │ vim: Use After Free                                          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-3235                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-3256    │          │                     │                       │                 │ vim: use-after-free in movemark() at mark.c                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-3256                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-3296    │          │                     │                       │                 │ vim: stack buffer overflow in ex_finally() in ex_eval.c      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-3296                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-3352    │          │                     │                       │                 │ vim: use after free                                          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-3352                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-3705    │          │                     │                       │                 │ vim: a use after free in the function qf_update_buffer       │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-3705                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-4292    │          │                     │                       │                 │ vim: use-after-free in did_set_spelllang() in src/spell.c    │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-4292                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2022-4293    │          │                     │                       │                 │ vim: floating point exception in num_divide() in src/eval.c  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2022-4293                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-0049    │          │                     │                       │                 │ vim: out-of-bounds read in function build_stl_str_hl         │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-0049                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-0054    │          │                     │                       │                 │ vim: out-of-bounds write in do_string_sub() in eval.c        │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-0054                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-0288    │          │                     │                       │                 │ vim: a heap-based buffer overflow                            │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-0288                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-0433    │          │                     │                       │                 │ vim: reading past the end of a line when formatting text     │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-0433                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-0512    │          │                     │                       │                 │ vim: divide by zero in adjust_skipcol() at move.ca           │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-0512                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-1127    │          │                     │                       │                 │ vim: Divide By Zero in vim/vim                               │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-1127                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-1170    │          │                     │                       │                 │ vim: Heap-based Buffer Overflow                              │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-1170                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-1175    │          │                     │                       │                 │ vim: Incorrect Calculation of Buffer Size                    │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-1175                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-1264    │          │                     │                       │                 │ vim: NULL pointer dereference issue in utfc_ptr2len          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-1264                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-2609    │          │                     │                       │                 │ vim: NULL Pointer Dereference in get_register() at           │
│                             │                  │          │                     │                       │                 │ register.c                                                   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-2609                    │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-2610    │          │ affected            │                       │                 │ vim: integer overflow vulnerability in vim                   │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-2610                    │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-46246   │          │ will_not_fix        │                       │                 │ vim: Integer Overflow in :history command                    │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-46246                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-4733    │          │ affected            │                       │                 │ vim: use-after-free in function buflist_altfpos              │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-4733                    │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-4734    │          │ will_not_fix        │                       │                 │ vim: segmentation fault in function f_fullcommand in vim/vim │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-4734                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-4735    │          │                     │                       │                 │ vim: OOB Write ops.c in vim/vim                              │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-4735                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-4738    │          │                     │                       │                 │ vim: heap-buffer-overflow in vim_regsub_both in vim/vim      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-4738                    │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-4750    │          │ affected            │                       │                 │ vim: use-after-free in function bt_quickfix                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-4750                    │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-4751    │          │ will_not_fix        │                       │                 │ vim: heap-buffer-overflow in function utfc_ptr2len in        │
│                             │                  │          │                     │                       │                 │ vim/vim                                                      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-4751                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-4752    │          │                     │                       │                 │ vim: use-after-free in function ins_compl_get_exp in vim/vim │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-4752                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-4781    │          │                     │                       │                 │ vim: heap-buffer-overflow in function vim_regsub_both in     │
│                             │                  │          │                     │                       │                 │ vim/vim                                                      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-4781                    │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-48231   │          │ affected            │                       │                 │ vim: use after free in win_close()                           │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-48231                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-48232   │          │                     │                       │                 │ vim: floating point exception in adjust_plines_for_skipcol() │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-48232                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-48233   │          │                     │                       │                 │ vim: overflow with count for :s command                      │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-48233                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-48234   │          │                     │                       │                 │ vim: overflow in nv_z_get_count                              │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-48234                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-48235   │          │                     │                       │                 │ vim: overflow in ex address parsing                          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-48235                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-48236   │          │                     │                       │                 │ vim: overflow in get_number                                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-48236                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-48237   │          │                     │                       │                 │ vim: buffer overflow in shift_line                           │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-48237                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-48706   │          │                     │                       │                 │ vim: use-after-free in ex_substitute in Vim                  │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-48706                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-5344    │          │ will_not_fix        │                       │                 │ vim: Heap-based Buffer Overflow in trunc_string()            │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-5344                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-5441    │          │                     │                       │                 │ vim: NULL pointer dereference in screen_line() in            │
│                             │                  │          │                     │                       │                 │ src/screen.c                                                 │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-5441                    │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2023-5535    │          │                     │                       │                 │ vim: use after free                                          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2023-5535                    │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-22667   │          │ affected            │                       │                 │ vim: Stack buffer over flow in did_set_langmap function in   │
│                             │                  │          │                     │                       │                 │ map.c                                                        │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-22667                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-41965   │          │ will_not_fix        │                       │                 │ vim: Double-Free Vulnerability in Vim Could Cause            │
│                             │                  │          │                     │                       │                 │ Application Crashes                                          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-41965                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-43374   │          │                     │                       │                 │ vim: use-after-free in alist_add() in src/arglist.c          │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-43374                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-43802   │          │                     │                       │                 │ vim: Heap Buffer Overflow in Vim's Typeahead Buffer Handling │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-43802                   │
│                             ├──────────────────┤          ├─────────────────────┤                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-45306   │          │ affected            │                       │                 │ vim: heap-buffer-overflow in Vim                             │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-45306                   │
│                             ├──────────────────┤          │                     │                       ├─────────────────┼──────────────────────────────────────────────────────────────┤
│                             │ CVE-2024-47814   │          │                     │                       │                 │ vim: use-after-free when closing buffers in Vim              │
│                             │                  │          │                     │                       │                 │ https://avd.aquasec.com/nvd/cve-2024-47814                   │
└─────────────────────────────┴──────────────────┴──────────┴─────────────────────┴───────────────────────┴─────────────────┴──────────────────────────────────────────────────────────────┘

Version

Version: 0.57.1
Vulnerability DB:
  Version: 2
  UpdatedAt: 2024-12-06 00:22:15.449191802 +0000 UTC
  NextUpdate: 2024-12-07 00:22:15.449178708 +0000 UTC
  DownloadedAt: 2024-12-06 00:37:31.56714262 +0000 UTC

Checklist

Read the documentation regarding wrong detection
Ran Trivy with -f json that shows data sources and confirmed that the security advisory in data sources was correct

knqyf263 · 2024-12-06T05:52:46Z

knqyf263
Dec 6, 2024
Maintainer

@DmitriyLewen Can you please take a look?

0 replies

DmitriyLewen · 2024-12-06T07:39:22Z

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

False detection for CVE-2024-45491 on Red Hat UBI8 and UBI9 #8059

{{title}}

Replies: 2 comments

{{title}}

{{title}}

Select a reply

False detection for CVE-2024-45491 on Red Hat UBI8 and UBI9 #8059

jhebden-gl Dec 6, 2024

IDs

Description

Reproduction Steps

Target

Scanner

Target OS

Debug Output

Version

Checklist

Replies: 2 comments

knqyf263 Dec 6, 2024 Maintainer

DmitriyLewen Dec 6, 2024 Maintainer

jhebden-gl
Dec 6, 2024

knqyf263
Dec 6, 2024
Maintainer

DmitriyLewen
Dec 6, 2024
Maintainer