Trivy test by small-dogg · Pull Request #2 · small-dogg/gitaction-test-application

small-dogg · 2025-10-19T12:31:37Z

No description provided.

small-dogg · 2025-10-19T12:36:47Z

Report Summary

┌───────────────────────────────────────────────────────────────────────┬────────┬─────────────────┬─────────┐
│ Target │ Type │ Vulnerabilities │ Secrets │
├───────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤
│ jerryworld/demo-main:ae856ea331d389fb49e11170a2d10ab23932cbf6 (amazon │ amazon │ 8 │ - │
│ 2023.9.20250929 (Amazon Linux)) │ │ │ │
├───────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤
│ app.jar │ jar │ 6 │ - │
└───────────────────────────────────────────────────────────────────────┴────────┴─────────────────┴─────────┘
Legend:

'-': Not scanned
'0': Clean (no security findings detected)

For OSS Maintainers: VEX Notice

If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://trivy.dev/v0.67/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.

jerryworld/demo-main:ae856ea331d389fb49e11170a2d10ab23932cbf6 (amazon 2023.9.20250929 (Amazon Linux))

Total: 8 (MEDIUM: 8, HIGH: 0, CRITICAL: 0)

┌──────────────────────────────┬────────────────┬──────────┬────────┬────────────────────────┬────────────────────────┬─────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────────────────┼────────────────┼──────────┼────────┼────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ giflib │ CVE-2023-48161 │ MEDIUM │ fixed │ 5.2.1-9.amzn2023.0.1 │ 5.2.1-9.amzn2023.0.2 │ giflib: Heap-Buffer Overflow during Image Saving in │
│ │ │ │ │ │ │ DumpScreen2RGB Function │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-48161 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2024-45993 │ │ │ │ │ giflib: heap buffer overflow via gif2rgb │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45993 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-31344 │ │ │ │ │ giflib: The giflib open-source component has a buffer │
│ │ │ │ │ │ │ overflow vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-31344 │
├──────────────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ openssl-fips-provider-latest │ CVE-2025-9230 │ │ │ 1:3.2.2-1.amzn2023.0.1 │ 1:3.2.2-1.amzn2023.0.2 │ openssl: Out-of-bounds read & write in RFC 3211 KEK Unwrap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9230 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-9231 │ │ │ │ │ openssl: Timing side-channel in SM2 algorithm on 64 bit ARM │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9231 │
├──────────────────────────────┼────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ openssl-libs │ CVE-2025-9230 │ │ │ │ │ openssl: Out-of-bounds read & write in RFC 3211 KEK Unwrap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9230 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-9231 │ │ │ │ │ openssl: Timing side-channel in SM2 algorithm on 64 bit ARM │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9231 │
├──────────────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ python3-pip-wheel │ CVE-2025-8869 │ │ │ 21.3.1-2.amzn2023.0.13 │ 21.3.1-2.amzn2023.0.14 │ pip: pip missing checks on symbolic link extraction │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8869 │
└──────────────────────────────┴────────────────┴──────────┴────────┴────────────────────────┴────────────────────────┴─────────────────────────────────────────────────────────────┘

Java (jar)

Total: 6 (MEDIUM: 6, HIGH: 0, CRITICAL: 0)

┌────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-lang3 (app.jar) │ CVE-2025-48924 │ MEDIUM │ fixed │ 3.13.0 │ 3.18.0 │ commons-lang/commons-lang: org.apache.commons/commons-lang3: │
│ │ │ │ │ │ │ Uncontrolled Recursion vulnerability in Apache Commons Lang │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-48924 │
├────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk18on (app.jar) │ CVE-2024-29857 │ │ │ 1.74 │ 1.78 │ org.bouncycastle: Importing an EC certificate with crafted │
│ │ │ │ │ │ │ F2m parameters may lead to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29857 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-30171 │ │ │ │ │ bc-java: BouncyCastle vulnerable to a timing variant of │
│ │ │ │ │ │ │ Bleichenbacher (Marvin Attack) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30171 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-30172 │ │ │ │ │ org.bouncycastle:bcprov-jdk18on: Infinite loop in ED25519 │
│ │ │ │ │ │ │ verification in the ScalarUtil class │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30172 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-34447 │ │ │ │ │ org.bouncycastle: Use of Incorrectly-Resolved Name or │
│ │ │ │ │ │ │ Reference │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34447 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-8885 │ │ │ │ │ bouncycastle: Bouncy Castle denial of service parsing ASN.1 │
│ │ │ │ │ │ │ Object Identifiers │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8885 │
└────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘

small-dogg · 2025-10-19T13:10:33Z

Report Summary

┌───────────────────────────────────────────────────────────────────────┬────────┬─────────────────┬─────────┐
│ Target │ Type │ Vulnerabilities │ Secrets │
├───────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤
│ jerryworld/demo-main:64155a630e094842f9eb0f672cf06c79c4d88d63 (amazon │ amazon │ 8 │ - │
│ 2023.9.20250929 (Amazon Linux)) │ │ │ │
├───────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤
│ app.jar │ jar │ 6 │ - │
└───────────────────────────────────────────────────────────────────────┴────────┴─────────────────┴─────────┘
Legend:

'-': Not scanned
'0': Clean (no security findings detected)

For OSS Maintainers: VEX Notice

If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://trivy.dev/v0.67/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.

jerryworld/demo-main:64155a630e094842f9eb0f672cf06c79c4d88d63 (amazon 2023.9.20250929 (Amazon Linux))

Total: 8 (MEDIUM: 8, HIGH: 0, CRITICAL: 0)

┌──────────────────────────────┬────────────────┬──────────┬────────┬────────────────────────┬────────────────────────┬─────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────────────────┼────────────────┼──────────┼────────┼────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ giflib │ CVE-2023-48161 │ MEDIUM │ fixed │ 5.2.1-9.amzn2023.0.1 │ 5.2.1-9.amzn2023.0.2 │ giflib: Heap-Buffer Overflow during Image Saving in │
│ │ │ │ │ │ │ DumpScreen2RGB Function │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-48161 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2024-45993 │ │ │ │ │ giflib: heap buffer overflow via gif2rgb │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45993 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-31344 │ │ │ │ │ giflib: The giflib open-source component has a buffer │
│ │ │ │ │ │ │ overflow vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-31344 │
├──────────────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ openssl-fips-provider-latest │ CVE-2025-9230 │ │ │ 1:3.2.2-1.amzn2023.0.1 │ 1:3.2.2-1.amzn2023.0.2 │ openssl: Out-of-bounds read & write in RFC 3211 KEK Unwrap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9230 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-9231 │ │ │ │ │ openssl: Timing side-channel in SM2 algorithm on 64 bit ARM │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9231 │
├──────────────────────────────┼────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ openssl-libs │ CVE-2025-9230 │ │ │ │ │ openssl: Out-of-bounds read & write in RFC 3211 KEK Unwrap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9230 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-9231 │ │ │ │ │ openssl: Timing side-channel in SM2 algorithm on 64 bit ARM │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9231 │
├──────────────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ python3-pip-wheel │ CVE-2025-8869 │ │ │ 21.3.1-2.amzn2023.0.13 │ 21.3.1-2.amzn2023.0.14 │ pip: pip missing checks on symbolic link extraction │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8869 │
└──────────────────────────────┴────────────────┴──────────┴────────┴────────────────────────┴────────────────────────┴─────────────────────────────────────────────────────────────┘

Java (jar)

Total: 6 (MEDIUM: 6, HIGH: 0, CRITICAL: 0)

┌────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-lang3 (app.jar) │ CVE-2025-48924 │ MEDIUM │ fixed │ 3.13.0 │ 3.18.0 │ commons-lang/commons-lang: org.apache.commons/commons-lang3: │
│ │ │ │ │ │ │ Uncontrolled Recursion vulnerability in Apache Commons Lang │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-48924 │
├────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk18on (app.jar) │ CVE-2024-29857 │ │ │ 1.74 │ 1.78 │ org.bouncycastle: Importing an EC certificate with crafted │
│ │ │ │ │ │ │ F2m parameters may lead to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29857 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-30171 │ │ │ │ │ bc-java: BouncyCastle vulnerable to a timing variant of │
│ │ │ │ │ │ │ Bleichenbacher (Marvin Attack) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30171 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-30172 │ │ │ │ │ org.bouncycastle:bcprov-jdk18on: Infinite loop in ED25519 │
│ │ │ │ │ │ │ verification in the ScalarUtil class │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30172 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-34447 │ │ │ │ │ org.bouncycastle: Use of Incorrectly-Resolved Name or │
│ │ │ │ │ │ │ Reference │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34447 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-8885 │ │ │ │ │ bouncycastle: Bouncy Castle denial of service parsing ASN.1 │
│ │ │ │ │ │ │ Object Identifiers │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8885 │
└────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘

small-dogg · 2025-10-19T13:10:35Z

Report Summary

┌────────────────────────────────────────────────────────────────────────┬────────┬─────────────────┬─────────┐
│ Target │ Type │ Vulnerabilities │ Secrets │
├────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤
│ jerryworld/demo1-main:64155a630e094842f9eb0f672cf06c79c4d88d63 (amazon │ amazon │ 8 │ - │
│ 2023.9.20250929 (Amazon Linux)) │ │ │ │
├────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤
│ app.jar │ jar │ 6 │ - │
└────────────────────────────────────────────────────────────────────────┴────────┴─────────────────┴─────────┘
Legend:

'-': Not scanned
'0': Clean (no security findings detected)

For OSS Maintainers: VEX Notice

If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://trivy.dev/v0.67/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.

jerryworld/demo1-main:64155a630e094842f9eb0f672cf06c79c4d88d63 (amazon 2023.9.20250929 (Amazon Linux))

Total: 8 (MEDIUM: 8, HIGH: 0, CRITICAL: 0)

┌──────────────────────────────┬────────────────┬──────────┬────────┬────────────────────────┬────────────────────────┬─────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────────────────┼────────────────┼──────────┼────────┼────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ giflib │ CVE-2023-48161 │ MEDIUM │ fixed │ 5.2.1-9.amzn2023.0.1 │ 5.2.1-9.amzn2023.0.2 │ giflib: Heap-Buffer Overflow during Image Saving in │
│ │ │ │ │ │ │ DumpScreen2RGB Function │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-48161 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2024-45993 │ │ │ │ │ giflib: heap buffer overflow via gif2rgb │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45993 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-31344 │ │ │ │ │ giflib: The giflib open-source component has a buffer │
│ │ │ │ │ │ │ overflow vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-31344 │
├──────────────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ openssl-fips-provider-latest │ CVE-2025-9230 │ │ │ 1:3.2.2-1.amzn2023.0.1 │ 1:3.2.2-1.amzn2023.0.2 │ openssl: Out-of-bounds read & write in RFC 3211 KEK Unwrap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9230 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-9231 │ │ │ │ │ openssl: Timing side-channel in SM2 algorithm on 64 bit ARM │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9231 │
├──────────────────────────────┼────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ openssl-libs │ CVE-2025-9230 │ │ │ │ │ openssl: Out-of-bounds read & write in RFC 3211 KEK Unwrap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9230 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-9231 │ │ │ │ │ openssl: Timing side-channel in SM2 algorithm on 64 bit ARM │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9231 │
├──────────────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ python3-pip-wheel │ CVE-2025-8869 │ │ │ 21.3.1-2.amzn2023.0.13 │ 21.3.1-2.amzn2023.0.14 │ pip: pip missing checks on symbolic link extraction │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8869 │
└──────────────────────────────┴────────────────┴──────────┴────────┴────────────────────────┴────────────────────────┴─────────────────────────────────────────────────────────────┘

Java (jar)

Total: 6 (MEDIUM: 6, HIGH: 0, CRITICAL: 0)

┌────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-lang3 (app.jar) │ CVE-2025-48924 │ MEDIUM │ fixed │ 3.13.0 │ 3.18.0 │ commons-lang/commons-lang: org.apache.commons/commons-lang3: │
│ │ │ │ │ │ │ Uncontrolled Recursion vulnerability in Apache Commons Lang │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-48924 │
├────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk18on (app.jar) │ CVE-2024-29857 │ │ │ 1.74 │ 1.78 │ org.bouncycastle: Importing an EC certificate with crafted │
│ │ │ │ │ │ │ F2m parameters may lead to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29857 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-30171 │ │ │ │ │ bc-java: BouncyCastle vulnerable to a timing variant of │
│ │ │ │ │ │ │ Bleichenbacher (Marvin Attack) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30171 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-30172 │ │ │ │ │ org.bouncycastle:bcprov-jdk18on: Infinite loop in ED25519 │
│ │ │ │ │ │ │ verification in the ScalarUtil class │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30172 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-34447 │ │ │ │ │ org.bouncycastle: Use of Incorrectly-Resolved Name or │
│ │ │ │ │ │ │ Reference │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34447 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-8885 │ │ │ │ │ bouncycastle: Bouncy Castle denial of service parsing ASN.1 │
│ │ │ │ │ │ │ Object Identifiers │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8885 │
└────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘

small-dogg · 2025-10-19T13:17:26Z

Report Summary

┌───────────────────────────────────────────────────────────────────────┬────────┬─────────────────┬─────────┐
│ Target │ Type │ Vulnerabilities │ Secrets │
├───────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤
│ jerryworld/demo-main:de783c5ea6986edb6d1b12c730641a994fb3f0b8 (amazon │ amazon │ 7 │ - │
│ 2023.9.20250929 (Amazon Linux)) │ │ │ │
├───────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤
│ app.jar │ jar │ 6 │ - │
└───────────────────────────────────────────────────────────────────────┴────────┴─────────────────┴─────────┘
Legend:

'-': Not scanned
'0': Clean (no security findings detected)

For OSS Maintainers: VEX Notice

If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://trivy.dev/v0.67/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.

jerryworld/demo-main:de783c5ea6986edb6d1b12c730641a994fb3f0b8 (amazon 2023.9.20250929 (Amazon Linux))

Total: 7 (MEDIUM: 7, HIGH: 0, CRITICAL: 0)

┌──────────────────────────────┬────────────────┬──────────┬────────┬────────────────────────┬────────────────────────┬─────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────────────────┼────────────────┼──────────┼────────┼────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ giflib │ CVE-2024-45993 │ MEDIUM │ fixed │ 5.2.1-9.amzn2023.0.1 │ 5.2.1-9.amzn2023.0.2 │ giflib: heap buffer overflow via gif2rgb │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45993 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-31344 │ │ │ │ │ giflib: The giflib open-source component has a buffer │
│ │ │ │ │ │ │ overflow vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-31344 │
├──────────────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ openssl-fips-provider-latest │ CVE-2025-9230 │ │ │ 1:3.2.2-1.amzn2023.0.1 │ 1:3.2.2-1.amzn2023.0.2 │ openssl: Out-of-bounds read & write in RFC 3211 KEK Unwrap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9230 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-9231 │ │ │ │ │ openssl: Timing side-channel in SM2 algorithm on 64 bit ARM │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9231 │
├──────────────────────────────┼────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ openssl-libs │ CVE-2025-9230 │ │ │ │ │ openssl: Out-of-bounds read & write in RFC 3211 KEK Unwrap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9230 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-9231 │ │ │ │ │ openssl: Timing side-channel in SM2 algorithm on 64 bit ARM │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9231 │
├──────────────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ python3-pip-wheel │ CVE-2025-8869 │ │ │ 21.3.1-2.amzn2023.0.13 │ 21.3.1-2.amzn2023.0.14 │ pip: pip missing checks on symbolic link extraction │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8869 │
└──────────────────────────────┴────────────────┴──────────┴────────┴────────────────────────┴────────────────────────┴─────────────────────────────────────────────────────────────┘

Java (jar)

Total: 6 (MEDIUM: 6, HIGH: 0, CRITICAL: 0)

┌────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-lang3 (app.jar) │ CVE-2025-48924 │ MEDIUM │ fixed │ 3.13.0 │ 3.18.0 │ commons-lang/commons-lang: org.apache.commons/commons-lang3: │
│ │ │ │ │ │ │ Uncontrolled Recursion vulnerability in Apache Commons Lang │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-48924 │
├────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk18on (app.jar) │ CVE-2024-29857 │ │ │ 1.74 │ 1.78 │ org.bouncycastle: Importing an EC certificate with crafted │
│ │ │ │ │ │ │ F2m parameters may lead to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29857 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-30171 │ │ │ │ │ bc-java: BouncyCastle vulnerable to a timing variant of │
│ │ │ │ │ │ │ Bleichenbacher (Marvin Attack) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30171 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-30172 │ │ │ │ │ org.bouncycastle:bcprov-jdk18on: Infinite loop in ED25519 │
│ │ │ │ │ │ │ verification in the ScalarUtil class │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30172 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-34447 │ │ │ │ │ org.bouncycastle: Use of Incorrectly-Resolved Name or │
│ │ │ │ │ │ │ Reference │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34447 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-8885 │ │ │ │ │ bouncycastle: Bouncy Castle denial of service parsing ASN.1 │
│ │ │ │ │ │ │ Object Identifiers │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8885 │
└────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘

small-dogg · 2025-10-19T13:17:28Z

Report Summary

┌────────────────────────────────────────────────────────────────────────┬────────┬─────────────────┬─────────┐
│ Target │ Type │ Vulnerabilities │ Secrets │
├────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤
│ jerryworld/demo1-main:de783c5ea6986edb6d1b12c730641a994fb3f0b8 (amazon │ amazon │ 7 │ - │
│ 2023.9.20250929 (Amazon Linux)) │ │ │ │
├────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┼─────────┤
│ app.jar │ jar │ 6 │ - │
└────────────────────────────────────────────────────────────────────────┴────────┴─────────────────┴─────────┘
Legend:

'-': Not scanned
'0': Clean (no security findings detected)

For OSS Maintainers: VEX Notice

If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://trivy.dev/v0.67/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.

jerryworld/demo1-main:de783c5ea6986edb6d1b12c730641a994fb3f0b8 (amazon 2023.9.20250929 (Amazon Linux))

Total: 7 (MEDIUM: 7, HIGH: 0, CRITICAL: 0)

┌──────────────────────────────┬────────────────┬──────────┬────────┬────────────────────────┬────────────────────────┬─────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────────────────┼────────────────┼──────────┼────────┼────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ giflib │ CVE-2024-45993 │ MEDIUM │ fixed │ 5.2.1-9.amzn2023.0.1 │ 5.2.1-9.amzn2023.0.2 │ giflib: heap buffer overflow via gif2rgb │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45993 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-31344 │ │ │ │ │ giflib: The giflib open-source component has a buffer │
│ │ │ │ │ │ │ overflow vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-31344 │
├──────────────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ openssl-fips-provider-latest │ CVE-2025-9230 │ │ │ 1:3.2.2-1.amzn2023.0.1 │ 1:3.2.2-1.amzn2023.0.2 │ openssl: Out-of-bounds read & write in RFC 3211 KEK Unwrap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9230 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-9231 │ │ │ │ │ openssl: Timing side-channel in SM2 algorithm on 64 bit ARM │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9231 │
├──────────────────────────────┼────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ openssl-libs │ CVE-2025-9230 │ │ │ │ │ openssl: Out-of-bounds read & write in RFC 3211 KEK Unwrap │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9230 │
│ ├────────────────┤ │ │ │ ├─────────────────────────────────────────────────────────────┤
│ │ CVE-2025-9231 │ │ │ │ │ openssl: Timing side-channel in SM2 algorithm on 64 bit ARM │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-9231 │
├──────────────────────────────┼────────────────┤ │ ├────────────────────────┼────────────────────────┼─────────────────────────────────────────────────────────────┤
│ python3-pip-wheel │ CVE-2025-8869 │ │ │ 21.3.1-2.amzn2023.0.13 │ 21.3.1-2.amzn2023.0.14 │ pip: pip missing checks on symbolic link extraction │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8869 │
└──────────────────────────────┴────────────────┴──────────┴────────┴────────────────────────┴────────────────────────┴─────────────────────────────────────────────────────────────┘

Java (jar)

Total: 6 (MEDIUM: 6, HIGH: 0, CRITICAL: 0)

┌────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ org.apache.commons:commons-lang3 (app.jar) │ CVE-2025-48924 │ MEDIUM │ fixed │ 3.13.0 │ 3.18.0 │ commons-lang/commons-lang: org.apache.commons/commons-lang3: │
│ │ │ │ │ │ │ Uncontrolled Recursion vulnerability in Apache Commons Lang │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-48924 │
├────────────────────────────────────────────┼────────────────┤ │ ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ org.bouncycastle:bcprov-jdk18on (app.jar) │ CVE-2024-29857 │ │ │ 1.74 │ 1.78 │ org.bouncycastle: Importing an EC certificate with crafted │
│ │ │ │ │ │ │ F2m parameters may lead to... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-29857 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-30171 │ │ │ │ │ bc-java: BouncyCastle vulnerable to a timing variant of │
│ │ │ │ │ │ │ Bleichenbacher (Marvin Attack) │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30171 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-30172 │ │ │ │ │ org.bouncycastle:bcprov-jdk18on: Infinite loop in ED25519 │
│ │ │ │ │ │ │ verification in the ScalarUtil class │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-30172 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2024-34447 │ │ │ │ │ org.bouncycastle: Use of Incorrectly-Resolved Name or │
│ │ │ │ │ │ │ Reference │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-34447 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2025-8885 │ │ │ │ │ bouncycastle: Bouncy Castle denial of service parsing ASN.1 │
│ │ │ │ │ │ │ Object Identifiers │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-8885 │
└────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘

small-dogg added 30 commits October 19, 2025 18:10

chore: 트라이비 테스트

2edd401

chore: wt...

1c987f1

chore: wt...(2)

fcf128e

chore: wt...(3)

e8bb05f

chore: wt...(4)

62ea537

chore: wt...(5)

8bdb456

chore: wt...(5)

7723b0b

chore: wt...(6)

2bb9259

chore: wt...(7)

3a97898

chore: wt...(8)

f08da59

chore: wt...(8)

dc7f821

chore: wt...(9)

996a87a

chore: wt...(10)

8d80d18

chore: wt...(11)

ef0f3bd

chore: json 포멧 변환 및 데이터 포멧팅(1)

ea2dcc7

chore: json 포멧 변환 및 데이터 포멧팅(2)

8013a65

chore: json 포멧 변환 및 데이터 포멧팅(2)

7be5e59

chore: json 포멧 변환 및 데이터 포멧팅(3)

fbf883f

chore: json 포멧 변환 및 데이터 포멧팅(4)

d8c6c72

chore: json 포멧 변환 및 데이터 포멧팅(5)

1bc7f09

chore: json 포멧 변환 및 데이터 포멧팅(6)

e79f60e

chore: json 포멧 변환 및 데이터 포멧팅(6)

0fc243f

chore: json 포멧 변환 및 데이터 포멧팅(6)

969a6c0

chore: CVE 수준 MEDIUM까지 검증

bee60da

chore: debug 제거

daa6940

chore: debug 제거

70733b5

chore: trivy 명령 수정

de15fe3

chore: trivy 명령 수정

ccc0fd4

fix: 변수 누락

3498a05

fix: 변수 누락

6b5be33

fix: 변수 누락

73ecb81

small-dogg added 6 commits October 19, 2025 21:49

chore: CHECK

0fef95d

chore: CHECK

fe8610f

chore: CHECK

12b1aeb

chore: CHECK(3)

fcb2c79

chore: CHECK(3)

ec9af55

fix: 동시성 그룹 대상 수정

399986c

chore: 의존성 제거

1695c8b

small-dogg merged commit 00474b6 into main Oct 19, 2025
14 of 15 checks passed

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Trivy test#2

Trivy test#2
small-dogg merged 38 commits intomainfrom
trivy-test

small-dogg commented Oct 19, 2025

Uh oh!

small-dogg commented Oct 19, 2025

Uh oh!

small-dogg commented Oct 19, 2025

Uh oh!

small-dogg commented Oct 19, 2025

Uh oh!

small-dogg commented Oct 19, 2025

Uh oh!

small-dogg commented Oct 19, 2025

Uh oh!

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

1 participant

Conversation

small-dogg commented Oct 19, 2025

Uh oh!

small-dogg commented Oct 19, 2025

For OSS Maintainers: VEX Notice

jerryworld/demo-main:ae856ea331d389fb49e11170a2d10ab23932cbf6 (amazon 2023.9.20250929 (Amazon Linux))

Java (jar)

Uh oh!

small-dogg commented Oct 19, 2025

For OSS Maintainers: VEX Notice

jerryworld/demo-main:64155a630e094842f9eb0f672cf06c79c4d88d63 (amazon 2023.9.20250929 (Amazon Linux))

Java (jar)

Uh oh!

small-dogg commented Oct 19, 2025

For OSS Maintainers: VEX Notice

jerryworld/demo1-main:64155a630e094842f9eb0f672cf06c79c4d88d63 (amazon 2023.9.20250929 (Amazon Linux))

Java (jar)

Uh oh!

small-dogg commented Oct 19, 2025

For OSS Maintainers: VEX Notice

jerryworld/demo-main:de783c5ea6986edb6d1b12c730641a994fb3f0b8 (amazon 2023.9.20250929 (Amazon Linux))

Java (jar)

Uh oh!

small-dogg commented Oct 19, 2025

For OSS Maintainers: VEX Notice

jerryworld/demo1-main:de783c5ea6986edb6d1b12c730641a994fb3f0b8 (amazon 2023.9.20250929 (Amazon Linux))

Java (jar)

Uh oh!

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

1 participant