Skip to content

Fix 0.10.5 vulnerabilities #55

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Merged
loks0n merged 3 commits into from
Dec 6, 2025
Merged

Fix 0.10.5 vulnerabilities #55

loks0n merged 3 commits into from
Dec 6, 2025

Conversation

@stnguyen90
Copy link
Contributor

@stnguyen90 stnguyen90 commented Dec 5, 2025
edited
Loading

What does this PR do?

Update packages and docker compose to fix vulnerabilities.

Test Plan

Scanning 0.10.5:

trivy image --vuln-type os,library --severity CRITICAL,HIGH --output appwrite-base-0.10.5-results.txt appwrite/base:0.10.5

Result:


Report Summary

┌──────────────────────────────────────┬──────────┬─────────────────┬─────────┐
│                Target                │   Type   │ Vulnerabilities │ Secrets │
├──────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ appwrite/base:0.10.5 (alpine 3.22.1) │  alpine  │       22        │    -    │
├──────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ .docker/cli-plugins/docker-compose   │ gobinary │        8        │    -    │
└──────────────────────────────────────┴──────────┴─────────────────┴─────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)


appwrite/base:0.10.5 (alpine 3.22.1)
====================================
Total: 22 (HIGH: 20, CRITICAL: 2)

┌─────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                            Title                             │
├─────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ imagemagick         │ CVE-2025-62171 │ HIGH     │ fixed  │ 7.1.2.3-r0        │ 7.1.2.8-r0    │ ImageMagick: ImageMagick vulnerable to denial of service via │
│                     │                │          │        │                   │               │ integer overflow in BMP...                                   │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2025-62171                   │
├─────────────────────┤                │          │        │                   │               │                                                              │
│ imagemagick-c++     │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
├─────────────────────┤                │          │        │                   │               │                                                              │
│ imagemagick-dev     │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
├─────────────────────┤                │          │        │                   │               │                                                              │
│ imagemagick-heic    │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
├─────────────────────┤                │          │        │                   │               │                                                              │
│ imagemagick-jpeg    │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
├─────────────────────┤                │          │        │                   │               │                                                              │
│ imagemagick-jxl     │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
├─────────────────────┤                │          │        │                   │               │                                                              │
│ imagemagick-libs    │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
├─────────────────────┤                │          │        │                   │               │                                                              │
│ imagemagick-openexr │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
├─────────────────────┤                │          │        │                   │               │                                                              │
│ imagemagick-webp    │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
├─────────────────────┼────────────────┤          │        ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libecpg             │ CVE-2025-12818 │          │        │ 17.6-r0           │ 17.7-r0       │ postgresql: libpq undersizes allocations, via integer        │
│                     │                │          │        │                   │               │ wraparound                                                   │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2025-12818                   │
├─────────────────────┤                │          │        │                   │               │                                                              │
│ libecpg-dev         │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
├─────────────────────┼────────────────┤          │        ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpng              │ CVE-2025-64720 │          │        │ 1.6.47-r0         │ 1.6.51-r0     │ libpng: LIBPNG buffer overflow                               │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2025-64720                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2025-65018 │          │        │                   │               │ libpng: LIBPNG heap buffer overflow                          │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2025-65018                   │
├─────────────────────┼────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│ libpng-dev          │ CVE-2025-64720 │          │        │                   │               │ libpng: LIBPNG buffer overflow                               │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2025-64720                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2025-65018 │          │        │                   │               │ libpng: LIBPNG heap buffer overflow                          │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2025-65018                   │
├─────────────────────┼────────────────┤          │        ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpq               │ CVE-2025-12818 │          │        │ 17.6-r0           │ 17.7-r0       │ postgresql: libpq undersizes allocations, via integer        │
│                     │                │          │        │                   │               │ wraparound                                                   │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2025-12818                   │
├─────────────────────┤                │          │        │                   │               │                                                              │
│ libpq-dev           │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
│                     │                │          │        │                   │               │                                                              │
├─────────────────────┼────────────────┼──────────┤        ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libxml2             │ CVE-2025-49794 │ CRITICAL │        │ 2.13.8-r0         │ 2.13.9-r0     │ libxml: Heap use after free (UAF) leads to Denial of service │
│                     │                │          │        │                   │               │ (DoS)...                                                     │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2025-49794                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2025-49796 │          │        │                   │               │ libxml: Type confusion leads to Denial of service (DoS)      │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2025-49796                   │
│                     ├────────────────┼──────────┤        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2025-49795 │ HIGH     │        │                   │               │ libxml: Null pointer dereference leads to Denial of service  │
│                     │                │          │        │                   │               │ (DoS)                                                        │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2025-49795                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2025-6021  │          │        │                   │               │ libxml2: Integer Overflow in xmlBuildQName() Leads to Stack  │
│                     │                │          │        │                   │               │ Buffer Overflow in libxml2...                                │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2025-6021                    │
├─────────────────────┼────────────────┤          │        ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ postgresql17-dev    │ CVE-2025-12818 │          │        │ 17.6-r0           │ 17.7-r0       │ postgresql: libpq undersizes allocations, via integer        │
│                     │                │          │        │                   │               │ wraparound                                                   │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2025-12818                   │
└─────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘

.docker/cli-plugins/docker-compose (gobinary)
=============================================
Total: 8 (HIGH: 8, CRITICAL: 0)

┌─────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────┬──────────────────────────────────────────────────────────────┐
│               Library               │ Vulnerability  │ Severity │ Status │ Installed Version │    Fixed Version    │                            Title                             │
├─────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ github.com/containerd/containerd/v2 │ CVE-2024-25621 │ HIGH     │ fixed  │ v2.0.2            │ 2.0.7, 2.1.5, 2.2.0 │ containerd is an open-source container runtime. Versions     │
│                                     │                │          │        │                   │                     │ 0.1.0 through ...                                            │
│                                     │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2024-25621                   │
├─────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto                 │ CVE-2025-22869 │          │        │ v0.31.0           │ 0.35.0              │ golang.org/x/crypto/ssh: Denial of Service in the Key        │
│                                     │                │          │        │                   │                     │ Exchange of golang.org/x/crypto/ssh                          │
│                                     │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-22869                   │
├─────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/oauth2                 │ CVE-2025-22868 │          │        │ v0.24.0           │ 0.27.0              │ golang.org/x/oauth2/jws: Unexpected memory consumption       │
│                                     │                │          │        │                   │                     │ during token parsing in golang.org/x/oauth2/jws              │
│                                     │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-22868                   │
├─────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib                              │ CVE-2025-47907 │          │        │ v1.22.10          │ 1.23.12, 1.24.6     │ database/sql: Postgres Scan Race Condition                   │
│                                     │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-47907                   │
│                                     ├────────────────┤          │        │                   ├─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                     │ CVE-2025-58183 │          │        │                   │ 1.24.8, 1.25.2      │ golang: archive/tar: Unbounded allocation when parsing GNU   │
│                                     │                │          │        │                   │                     │ sparse map                                                   │
│                                     │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-58183                   │
│                                     ├────────────────┤          │        │                   │                     ├──────────────────────────────────────────────────────────────┤
│                                     │ CVE-2025-58186 │          │        │                   │                     │ Despite HTTP headers having a default limit of 1MB, the      │
│                                     │                │          │        │                   │                     │ number of...                                                 │
│                                     │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-58186                   │
│                                     ├────────────────┤          │        │                   ├─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                     │ CVE-2025-58187 │          │        │                   │ 1.24.9, 1.25.3      │ Due to the design of the name constraint checking algorithm, │
│                                     │                │          │        │                   │                     │ the proce...                                                 │
│                                     │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-58187                   │
│                                     ├────────────────┤          │        │                   ├─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                     │ CVE-2025-61729 │          │        │                   │ 1.24.11, 1.25.5     │ Within HostnameError.Error(), when constructing an error     │
│                                     │                │          │        │                   │                     │ string, there ...                                            │
│                                     │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-61729                   │
└─────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────┴──────────────────────────────────────────────────────────────┘

Scanning this image:

docker build -t appwrite-base-test .
container-structure-test test --config tests.yaml --image appwrite-base-test

Result:


Report Summary

┌────────────────────────────────────┬────────┬─────────────────┬─────────┐
│               Target               │  Type  │ Vulnerabilities │ Secrets │
├────────────────────────────────────┼────────┼─────────────────┼─────────┤
│ appwrite-base-test (alpine 3.22.1) │ alpine │        0        │    -    │
└────────────────────────────────────┴────────┴─────────────────┴─────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)

Related PRs and Issues

Have you read the Contributing Guidelines on issues?

Yes

@coderabbitai
Copy link

coderabbitai bot commented Dec 5, 2025

Important

Review skipped

Auto reviews are disabled on base/target branches other than the default branch.

Please check the settings in the CodeRabbit UI or the .coderabbit.yaml file in this repository. To trigger a single review, invoke the @coderabbitai review command.

You can disable this status message by setting the reviews.review_status to false in the CodeRabbit configuration file.

✨ Finishing touches
🧪 Generate unit tests (beta)
  • Create PR with unit tests
  • Post copyable unit tests in a comment
  • Commit unit tests in branch chore-fix-vulnerabilities

Thanks for using CodeRabbit! It's free for OSS, and your support helps us grow. If you like it, consider giving us a shout-out.

❤️ Share

Comment @coderabbitai help to get the list of available commands and usage tips.

@stnguyen90 stnguyen90 changed the title Chore fix vulnerabilities Fix 0.10.5 vulnerabilities Dec 5, 2025
@stnguyen90
chore: install docker compose package
9a01b43 
Installing via the package rather than manually downloading the binary from GitHub is a simpler approach. Using the package manager will also ensure the package is updated properly.
@loks0n loks0n merged commit 07cbd07 into 0.10.x Dec 6, 2025
2 checks passed
@stnguyen90 stnguyen90 mentioned this pull request Dec 8, 2025
Open
2 tasks
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

@EVDOG4LIFE EVDOG4LIFE EVDOG4LIFE approved these changes

@abnegate abnegate Awaiting requested review from abnegate

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

4 participants

@stnguyen90 @EVDOG4LIFE @loks0n