Uploaded image for project: 'Project Quay'
  1. Project Quay
  2. PROJQUAY-10154

quay-builder-v3-16 image has 8 high CVE vulnerabilities

XMLWordPrintable

    • Icon: Bug Bug
    • Resolution: Unresolved
    • Icon: Critical Critical
    • None
    • quay-v3.16.1
    • quay-builder
    • None
    • False
    • Hide

      None

      Show
      None
    • False

      Description of problem:

      Scan quay builder image "quay.io/redhat-user-workloads/quay-eng-tenant/quay-builder-v3-16@sha256:98863a8153c7cef9eca08dca3d58b4fe06e79db6854d904828dc0a1604b08b25 " by trivy.  Got some High vulnerabilities in report. 

      • CVE-2025-68973  
      • CVE-2025-47913
      • CVE-2025-9566
      • CVE-2025-31133
      • CVE-2025-52565
      • CVE-2025-52881
      • CVE-2025-66506
      • CVE-2025-61729 

       

      quay.io/redhat-user-workloads/quay-eng-tenant/quay-builder-v3-16@sha256:98863a8153c7cef9eca08dca3d58b4fe06e79db6854d904828dc0a1604b08b25 (redhat 9.7)
=====================================================================================================================================================
.............
├─────────────────────────────┼──────────────────┼──────────┼─────────────────────┼─────────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ gnupg2                      │ CVE-2025-68973   │ HIGH     │ affected            │ 2.3.3-4.el9         │                │ GnuPG: GnuPG: Information disclosure and potential arbitrary │
│                             │                  │          │                     │                     │                │ code execution via out-of-bounds write...                    │
│                             │                  │          │                     │                     │                │ https://avd.aquasec.com/nvd/cve-2025-68973                   │
│                             ├──────────────────┼──────────┤                     │                     ├────────────────┼──────────────────────────────────────────────────────────────┤ 
............
├─────────────────────────────┼──────────────────┼──────────┤                     ├─────────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ podman                      │ CVE-2025-47913   │ HIGH     │                     │ 6:5.6.0-9.el9_7     │                │ golang.org/x/crypto/ssh/agent:                               │
│                             │                  │          │                     │                     │                │ golang.org/x/crypto/ssh/agent: SSH client panic due to       │
│                             │                  │          │                     │                     │                │ unexpected SSH_AGENT_SUCCESS                                 │
│                             │                  │          │                     │                     │                │ https://avd.aquasec.com/nvd/cve-2025-47913                   │
........
      usr/local/bin/quay-builder (gobinary)
=====================================
├────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/containers/podman/v5        │ CVE-2025-9566  │ HIGH     │        │ v5.5.2            │ 5.6.1                    │ podman: Podman kube play command may overwrite host files    │
│                                        │                │          │        │                   │                          │ https://avd.aquasec.com/nvd/cve-2025-9566                    │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼──────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/opencontainers/runc         │ CVE-2025-31133 │          │        │ v1.2.6            │ 1.2.8, 1.3.3, 1.4.0-rc.3 │ runc: container escape via 'masked path' abuse due to mount  │
│                                        │                │          │        │                   │                          │ race conditions...                                           │
│                                        │                │          │        │                   │                          │ https://avd.aquasec.com/nvd/cve-2025-31133                   │
│                                        ├────────────────┤          │        │                   │                          ├──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2025-52565 │          │        │                   │                          │ runc: container escape with malicious config due to          │
│                                        │                │          │        │                   │                          │ /dev/console mount and related...                            │
│                                        │                │          │        │                   │                          │ https://avd.aquasec.com/nvd/cve-2025-52565                   │
│                                        ├────────────────┤          │        │                   │                          ├──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2025-52881 │          │        │                   │                          │ runc: opencontainers/selinux: container escape and denial of │
│                                        │                │          │        │                   │                          │ service due to arbitrary write...                            │
│                                        │                │          │        │                   │                          │ https://avd.aquasec.com/nvd/cve-2025-52881                   │
├────────────────────────────────────────┤                │          │        ├───────────────────┼──────────────────────────┤                                                              │
│ github.com/opencontainers/selinux      │                │          │        │ v1.12.0           │ 1.13.0                   │                                                              │
│                                        │                │          │        │                   │                          │                                                              │
│                                        │                │          │        │                   │                          │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼──────────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/sigstore/fulcio             │ CVE-2025-66506 │          │        │ v1.6.6            │ 1.8.3                    │ github.com/sigstore/fulcio: Fulcio: Denial of Service via    │
│                                        │                │          │        │                   │                          │ crafted OpenID Connect (OIDC) token                          │
│                                        │                │          │        │                   │                          │ https://avd.aquasec.com/nvd/cve-2025-66506                   │
├────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────┼──────────────────────────────────────────────────────────────┤
......
├────────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼──────────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib                                 │ CVE-2025-61729 │ HIGH     │        │ 1.25.3            │ 1.24.11, 1.25.5          │ crypto/x509: Excessive resource consumption when printing    │
│                                        │                │          │        │                   │                          │ error string for host certificate validation...              │
│                                        │                │          │        │                   │                          │ https://avd.aquasec.com/nvd/cve-2025-61729                   │
│                                        ├────────────────┼──────────┤        │                   │                          ├──────────────────────────────────────────────────────────────┤

      Get the whole report in quay_builder_image_vulnerability-report.txt

       

        1. quay_builder_image_vulnerability-report.txt
          297 kB

              Unassigned Unassigned
              rhwhu Weihua Hu
              Votes:
              0 Vote for this issue
              Watchers:
              1 Start watching this issue

                Created:
                Updated: