Skip to content

fix(deps): update patch updates 🩹#50

Open
iexec-renovate-app[bot] wants to merge 1 commit intodevelopfrom
renovate/patch-updates
Open

fix(deps): update patch updates 🩹#50
iexec-renovate-app[bot] wants to merge 1 commit intodevelopfrom
renovate/patch-updates

Conversation

@iexec-renovate-app
Copy link
Copy Markdown
Contributor

@iexec-renovate-app iexec-renovate-app Bot commented Mar 31, 2025
edited
Loading

This PR contains the following updates:

Package Type Update Change
@graphprotocol/graph-ts (source) dependencies patch 0.38.0 -> 0.38.1
@iexec/voucher-contracts dependencies patch 1.0.0 -> 1.0.1

Release Notes

graphprotocol/graph-tooling (@​graphprotocol/graph-ts)

v0.38.1

Compare Source

Patch Changes
iExecBlockchainComputing/iexec-voucher-contracts (@​iexec/voucher-contracts)

v1.0.1

Compare Source

  • Index first parameter of match an claim events in Voucher contract. (#​61, #​72)
  • Add upgrade workflow. (#​64)
  • Add Halborn "Poco v5.5 & Voucher v1.0" audit report ( #​70)
  • Add type-checking script (#​53)
  • Run partial upgrade tests on fork.
    • Should maintain consistent voucher addresses (#​61)
    • Should upgrade decimals (#​58)
  • Implement VoucherHub upgrade and test it on GitHub Action CI using a local fork. (#​57)
  • Relocate decimals() function in VoucherHub smart contract. (#​56)
  • Better handling for env variables. (#​55)
  • Remove references to blockscout v5. (#​49)
  • Override the decimals function of ERC-20 to set the token's decimal precision to 9, aligning with RLC standards. (#​50)
  • Verify VoucherProxy contracts. (#​51)

Configuration

📅 Schedule: Branch creation - At any time (no schedule defined), Automerge - At any time (no schedule defined).

🚦 Automerge: Disabled by config. Please merge this manually once you are satisfied.

Rebasing: Whenever PR becomes conflicted, or you tick the rebase/retry checkbox.

👻 Immortal: This PR will be recreated if closed unmerged. Get config help if that's undesired.

  • If you want to rebase/retry this PR, check this box

This PR has been generated by Renovate Bot.

@github-actions
Copy link
Copy Markdown

github-actions Bot commented Mar 31, 2025

🔒 Trivy Security Scan Results

Click to expand detailed results 

For OSS Maintainers: VEX Notice
--------------------------------
If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://aquasecurity.github.io/trivy/v0.57/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.


vuln-image.tar (debian 12.10)
=============================
Total: 4 (HIGH: 4, CRITICAL: 0)

┌──────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────┬─────────────────────────────────────────────────────────────┐
│   Library    │ Vulnerability  │ Severity │ Status │ Installed Version │  Fixed Version   │                            Title                            │
├──────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libxslt1-dev │ CVE-2024-55549 │ HIGH     │ fixed  │ 1.1.35-1          │ 1.1.35-1+deb12u1 │ libxslt: Use-After-Free in libxslt (xsltGetInheritedNsList) │
│              │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2024-55549                  │
│              ├────────────────┤          │        │                   │                  ├─────────────────────────────────────────────────────────────┤
│              │ CVE-2025-24855 │          │        │                   │                  │ libxslt: Use-After-Free in libxslt numbers.c                │
│              │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-24855                  │
├──────────────┼────────────────┤          │        │                   │                  ├─────────────────────────────────────────────────────────────┤
│ libxslt1.1   │ CVE-2024-55549 │          │        │                   │                  │ libxslt: Use-After-Free in libxslt (xsltGetInheritedNsList) │
│              │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2024-55549                  │
│              ├────────────────┤          │        │                   │                  ├─────────────────────────────────────────────────────────────┤
│              │ CVE-2025-24855 │          │        │                   │                  │ libxslt: Use-After-Free in libxslt numbers.c                │
│              │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-24855                  │
└──────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────┴─────────────────────────────────────────────────────────────┘

Node.js (node-pkg)
==================
Total: 8 (HIGH: 7, CRITICAL: 1)

┌────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────┬──────────────────────────────────────────────────────────────┐
│                Library                 │ Vulnerability  │ Severity │ Status │ Installed Version │    Fixed Version    │                            Title                             │
├────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ @openzeppelin/contracts (package.json) │ CVE-2021-46320 │ HIGH     │ fixed  │ 3.2.0             │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        ├────────────────┼──────────┤        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-39167 │ CRITICAL │        │ 3.3.0             │ 4.3.1, 3.4.2        │ TimelockController vulnerability in OpenZeppelin Contracts   │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-39167                   │
│                                        ├────────────────┼──────────┤        │                   ├─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-46320 │ HIGH     │        │                   │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        │                │          │        ├───────────────────┤                     │                                                              │
│                                        │                │          │        │ 3.4.2             │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ axios (package.json)                   │ CVE-2025-27152 │          │        │ 0.21.4            │ 1.8.2, 0.30.0       │ axios: Possible SSRF and Credential Leakage via Absolute URL │
│                                        │                │          │        │                   │                     │ in axios Requests...                                         │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-27152                   │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ cross-spawn (package.json)             │ CVE-2024-21538 │          │        │ 7.0.3             │ 7.0.5, 6.0.6        │ cross-spawn: regular expression denial of service            │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2024-21538                   │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ semver (package.json)                  │ CVE-2022-25883 │          │        │ 7.3.5             │ 7.5.2, 6.3.1, 5.7.2 │ nodejs-semver: Regular expression denial of service          │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2022-25883                   │
└────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────┴──────────────────────────────────────────────────────────────┘

@iexec-renovate-app iexec-renovate-app Bot force-pushed the renovate/patch-updates branch from 298222b to 8fe0145 Compare March 31, 2025 15:52
@github-actions
Copy link
Copy Markdown

github-actions Bot commented Mar 31, 2025

🔒 Trivy Security Scan Results

Click to expand detailed results 

For OSS Maintainers: VEX Notice
--------------------------------
If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://aquasecurity.github.io/trivy/v0.57/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.


vuln-image.tar (debian 12.10)
=============================
Total: 4 (HIGH: 4, CRITICAL: 0)

┌──────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────┬─────────────────────────────────────────────────────────────┐
│   Library    │ Vulnerability  │ Severity │ Status │ Installed Version │  Fixed Version   │                            Title                            │
├──────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────┼─────────────────────────────────────────────────────────────┤
│ libxslt1-dev │ CVE-2024-55549 │ HIGH     │ fixed  │ 1.1.35-1          │ 1.1.35-1+deb12u1 │ libxslt: Use-After-Free in libxslt (xsltGetInheritedNsList) │
│              │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2024-55549                  │
│              ├────────────────┤          │        │                   │                  ├─────────────────────────────────────────────────────────────┤
│              │ CVE-2025-24855 │          │        │                   │                  │ libxslt: Use-After-Free in libxslt numbers.c                │
│              │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-24855                  │
├──────────────┼────────────────┤          │        │                   │                  ├─────────────────────────────────────────────────────────────┤
│ libxslt1.1   │ CVE-2024-55549 │          │        │                   │                  │ libxslt: Use-After-Free in libxslt (xsltGetInheritedNsList) │
│              │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2024-55549                  │
│              ├────────────────┤          │        │                   │                  ├─────────────────────────────────────────────────────────────┤
│              │ CVE-2025-24855 │          │        │                   │                  │ libxslt: Use-After-Free in libxslt numbers.c                │
│              │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-24855                  │
└──────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────┴─────────────────────────────────────────────────────────────┘

Node.js (node-pkg)
==================
Total: 8 (HIGH: 7, CRITICAL: 1)

┌────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────┬──────────────────────────────────────────────────────────────┐
│                Library                 │ Vulnerability  │ Severity │ Status │ Installed Version │    Fixed Version    │                            Title                             │
├────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ @openzeppelin/contracts (package.json) │ CVE-2021-46320 │ HIGH     │ fixed  │ 3.2.0             │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        ├────────────────┼──────────┤        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-39167 │ CRITICAL │        │ 3.3.0             │ 4.3.1, 3.4.2        │ TimelockController vulnerability in OpenZeppelin Contracts   │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-39167                   │
│                                        ├────────────────┼──────────┤        │                   ├─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-46320 │ HIGH     │        │                   │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        │                │          │        ├───────────────────┤                     │                                                              │
│                                        │                │          │        │ 3.4.2             │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ axios (package.json)                   │ CVE-2025-27152 │          │        │ 0.21.4            │ 1.8.2, 0.30.0       │ axios: Possible SSRF and Credential Leakage via Absolute URL │
│                                        │                │          │        │                   │                     │ in axios Requests...                                         │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-27152                   │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ cross-spawn (package.json)             │ CVE-2024-21538 │          │        │ 7.0.3             │ 7.0.5, 6.0.6        │ cross-spawn: regular expression denial of service            │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2024-21538                   │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ semver (package.json)                  │ CVE-2022-25883 │          │        │ 7.3.5             │ 7.5.2, 6.3.1, 5.7.2 │ nodejs-semver: Regular expression denial of service          │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2022-25883                   │
└────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────┴──────────────────────────────────────────────────────────────┘

@iexec-renovate-app iexec-renovate-app Bot force-pushed the renovate/patch-updates branch from 8fe0145 to fa657f5 Compare April 8, 2025 12:53
@github-actions
Copy link
Copy Markdown

github-actions Bot commented Apr 8, 2025

🔒 Trivy Security Scan Results

Click to expand detailed results 

For OSS Maintainers: VEX Notice
--------------------------------
If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://aquasecurity.github.io/trivy/v0.57/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.


vuln-image.tar (debian 12.10)
=============================
Total: 0 (HIGH: 0, CRITICAL: 0)


Node.js (node-pkg)
==================
Total: 8 (HIGH: 7, CRITICAL: 1)

┌────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────┬──────────────────────────────────────────────────────────────┐
│                Library                 │ Vulnerability  │ Severity │ Status │ Installed Version │    Fixed Version    │                            Title                             │
├────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ @openzeppelin/contracts (package.json) │ CVE-2021-46320 │ HIGH     │ fixed  │ 3.2.0             │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        ├────────────────┼──────────┤        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-39167 │ CRITICAL │        │ 3.3.0             │ 4.3.1, 3.4.2        │ TimelockController vulnerability in OpenZeppelin Contracts   │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-39167                   │
│                                        ├────────────────┼──────────┤        │                   ├─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-46320 │ HIGH     │        │                   │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        │                │          │        ├───────────────────┤                     │                                                              │
│                                        │                │          │        │ 3.4.2             │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ axios (package.json)                   │ CVE-2025-27152 │          │        │ 0.21.4            │ 1.8.2, 0.30.0       │ axios: Possible SSRF and Credential Leakage via Absolute URL │
│                                        │                │          │        │                   │                     │ in axios Requests...                                         │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-27152                   │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ cross-spawn (package.json)             │ CVE-2024-21538 │          │        │ 7.0.3             │ 7.0.5, 6.0.6        │ cross-spawn: regular expression denial of service            │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2024-21538                   │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ semver (package.json)                  │ CVE-2022-25883 │          │        │ 7.3.5             │ 7.5.2, 6.3.1, 5.7.2 │ nodejs-semver: Regular expression denial of service          │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2022-25883                   │
└────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────┴──────────────────────────────────────────────────────────────┘

@TartanLeGrand TartanLeGrand force-pushed the renovate/patch-updates branch from fa657f5 to 1244867 Compare April 22, 2025 08:27
@github-actions
Copy link
Copy Markdown

github-actions Bot commented Apr 22, 2025

🔒 Trivy Security Scan Results

Click to expand detailed results 

For OSS Maintainers: VEX Notice
--------------------------------
If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://aquasecurity.github.io/trivy/v0.57/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.


vuln-image.tar (debian 12.10)
=============================
Total: 23 (HIGH: 23, CRITICAL: 0)

┌───────────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────┬──────────────────────────────────────────────────────────────┐
│      Library      │ Vulnerability  │ Severity │ Status │ Installed Version │  Fixed Version   │                            Title                             │
├───────────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ libperl5.36       │ CVE-2024-56406 │ HIGH     │ fixed  │ 5.36.0-7+deb12u1  │ 5.36.0-7+deb12u2 │ perl: Perl 5.34, 5.36, 5.38 and 5.40 are vulnerable to a     │
│                   │                │          │        │                   │                  │ heap...                                                      │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2024-56406                   │
├───────────────────┼────────────────┤          │        ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ linux-libc-dev    │ CVE-2024-26982 │          │        │ 6.1.129-1         │ 6.1.133-1        │ kernel: Squashfs: check the inode number is not the invalid  │
│                   │                │          │        │                   │                  │ value of...                                                  │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2024-26982                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2024-35866 │          │        │                   │                  │ kernel: smb: client: fix potential UAF in                    │
│                   │                │          │        │                   │                  │ cifs_dump_full_key()                                         │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2024-35866                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2024-50246 │          │        │                   │                  │ kernel: fs/ntfs3: Add rough attr alloc_size check            │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2024-50246                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2024-53166 │          │        │                   │                  │ kernel: block, bfq: fix bfqq uaf in bfq_limit_depth()        │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2024-53166                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2024-58002 │          │        │                   │                  │ kernel: media: uvcvideo: Remove dangling pointers            │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2024-58002                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21702 │          │        │                   │                  │ kernel: pfifo_tail_enqueue: Drop new packet when sch->limit  │
│                   │                │          │        │                   │                  │ == 0                                                         │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21702                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21855 │          │        │                   │                  │ kernel: ibmvnic: Don't reference skb after sending to VIOS   │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21855                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21858 │          │        │                   │                  │ kernel: geneve: Fix use-after-free in geneve_find_dev().     │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21858                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21905 │          │        │                   │                  │ kernel: wifi: iwlwifi: limit printed string from FW file     │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21905                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21919 │          │        │                   │                  │ kernel: sched/fair: Fix potential memory corruption in       │
│                   │                │          │        │                   │                  │ child_cfs_rq_on_list                                         │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21919                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21920 │          │        │                   │                  │ kernel: vlan: enforce underlying device type                 │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21920                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21926 │          │        │                   │                  │ kernel: net: gso: fix ownership in __udp_gso_segment         │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21926                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21928 │          │        │                   │                  │ kernel: HID: intel-ish-hid: Fix use-after-free issue in      │
│                   │                │          │        │                   │                  │ ishtp_hid_remove()                                           │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21928                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21934 │          │        │                   │                  │ kernel: rapidio: fix an API misues when rio_add_net() fails  │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21934                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21945 │          │        │                   │                  │ kernel: ksmbd: fix use-after-free in smb2_lock               │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21945                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21968 │          │        │                   │                  │ kernel: drm/amd/display: Fix slab-use-after-free on          │
│                   │                │          │        │                   │                  │ hdcp_work                                                    │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21968                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21979 │          │        │                   │                  │ kernel: wifi: cfg80211: cancel wiphy_work before freeing     │
│                   │                │          │        │                   │                  │ wiphy                                                        │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21979                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21991 │          │        │                   │                  │ kernel: x86/microcode/AMD: Fix out-of-bounds on systems with │
│                   │                │          │        │                   │                  │ CPU-less NUMA nodes                                          │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21991                   │
│                   ├────────────────┤          │        │                   │                  ├──────────────────────────────────────────────────────────────┤
│                   │ CVE-2025-21993 │          │        │                   │                  │ kernel: iscsi_ibft: Fix UBSAN shift-out-of-bounds warning in │
│                   │                │          │        │                   │                  │ ibft_attr_show_nic()                                         │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2025-21993                   │
├───────────────────┼────────────────┤          │        ├───────────────────┼──────────────────┼──────────────────────────────────────────────────────────────┤
│ perl              │ CVE-2024-56406 │          │        │ 5.36.0-7+deb12u1  │ 5.36.0-7+deb12u2 │ perl: Perl 5.34, 5.36, 5.38 and 5.40 are vulnerable to a     │
│                   │                │          │        │                   │                  │ heap...                                                      │
│                   │                │          │        │                   │                  │ https://avd.aquasec.com/nvd/cve-2024-56406                   │
├───────────────────┤                │          │        │                   │                  │                                                              │
│ perl-base         │                │          │        │                   │                  │                                                              │
│                   │                │          │        │                   │                  │                                                              │
│                   │                │          │        │                   │                  │                                                              │
├───────────────────┤                │          │        │                   │                  │                                                              │
│ perl-modules-5.36 │                │          │        │                   │                  │                                                              │
│                   │                │          │        │                   │                  │                                                              │
│                   │                │          │        │                   │                  │                                                              │
└───────────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────┴──────────────────────────────────────────────────────────────┘

Node.js (node-pkg)
==================
Total: 8 (HIGH: 7, CRITICAL: 1)

┌────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────┬──────────────────────────────────────────────────────────────┐
│                Library                 │ Vulnerability  │ Severity │ Status │ Installed Version │    Fixed Version    │                            Title                             │
├────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ @openzeppelin/contracts (package.json) │ CVE-2021-46320 │ HIGH     │ fixed  │ 3.2.0             │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        ├────────────────┼──────────┤        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-39167 │ CRITICAL │        │ 3.3.0             │ 4.3.1, 3.4.2        │ TimelockController vulnerability in OpenZeppelin Contracts   │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-39167                   │
│                                        ├────────────────┼──────────┤        │                   ├─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-46320 │ HIGH     │        │                   │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        │                │          │        ├───────────────────┤                     │                                                              │
│                                        │                │          │        │ 3.4.2             │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ axios (package.json)                   │ CVE-2025-27152 │          │        │ 0.21.4            │ 1.8.2, 0.30.0       │ axios: Possible SSRF and Credential Leakage via Absolute URL │
│                                        │                │          │        │                   │                     │ in axios Requests...                                         │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-27152                   │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ cross-spawn (package.json)             │ CVE-2024-21538 │          │        │ 7.0.3             │ 7.0.5, 6.0.6        │ cross-spawn: regular expression denial of service            │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2024-21538                   │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ semver (package.json)                  │ CVE-2022-25883 │          │        │ 7.3.5             │ 7.5.2, 6.3.1, 5.7.2 │ nodejs-semver: Regular expression denial of service          │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2022-25883                   │
└────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────┴──────────────────────────────────────────────────────────────┘

@iexec-renovate-app iexec-renovate-app Bot force-pushed the renovate/patch-updates branch from 1244867 to 1b47ec7 Compare May 10, 2025 01:03
@iexec-renovate-app iexec-renovate-app Bot changed the title fix(deps): update dependency @iexec/voucher-contracts to v1.0.1 fix(deps): update patch updates 🩹 May 10, 2025
@github-actions
Copy link
Copy Markdown

github-actions Bot commented May 10, 2025

🔒 Trivy Security Scan Results

Click to expand detailed results 

For OSS Maintainers: VEX Notice
--------------------------------
If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://aquasecurity.github.io/trivy/v0.57/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.


vuln-image.tar (debian 12.10)
=============================
Total: 0 (HIGH: 0, CRITICAL: 0)


Node.js (node-pkg)
==================
Total: 8 (HIGH: 7, CRITICAL: 1)

┌────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────┬──────────────────────────────────────────────────────────────┐
│                Library                 │ Vulnerability  │ Severity │ Status │ Installed Version │    Fixed Version    │                            Title                             │
├────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ @openzeppelin/contracts (package.json) │ CVE-2021-46320 │ HIGH     │ fixed  │ 3.2.0             │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        ├────────────────┼──────────┤        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-39167 │ CRITICAL │        │ 3.3.0             │ 4.3.1, 3.4.2        │ TimelockController vulnerability in OpenZeppelin Contracts   │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-39167                   │
│                                        ├────────────────┼──────────┤        │                   ├─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-46320 │ HIGH     │        │                   │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        │                │          │        ├───────────────────┤                     │                                                              │
│                                        │                │          │        │ 3.4.2             │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ axios (package.json)                   │ CVE-2025-27152 │          │        │ 0.21.4            │ 1.8.2, 0.30.0       │ axios: Possible SSRF and Credential Leakage via Absolute URL │
│                                        │                │          │        │                   │                     │ in axios Requests...                                         │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-27152                   │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ cross-spawn (package.json)             │ CVE-2024-21538 │          │        │ 7.0.3             │ 7.0.5, 6.0.6        │ cross-spawn: regular expression denial of service            │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2024-21538                   │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ semver (package.json)                  │ CVE-2022-25883 │          │        │ 7.3.5             │ 7.5.2, 6.3.1, 5.7.2 │ nodejs-semver: Regular expression denial of service          │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2022-25883                   │
└────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────┴──────────────────────────────────────────────────────────────┘

@iexec-renovate-app iexec-renovate-app Bot force-pushed the renovate/patch-updates branch from 1b47ec7 to 1e9a333 Compare May 17, 2025 01:08
@github-actions
Copy link
Copy Markdown

github-actions Bot commented May 17, 2025

🔒 Trivy Security Scan Results

Click to expand detailed results 

For OSS Maintainers: VEX Notice
--------------------------------
If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://aquasecurity.github.io/trivy/v0.57/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.


vuln-image.tar (debian 12.10)
=============================
Total: 0 (HIGH: 0, CRITICAL: 0)


Node.js (node-pkg)
==================
Total: 8 (HIGH: 7, CRITICAL: 1)

┌────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────┬──────────────────────────────────────────────────────────────┐
│                Library                 │ Vulnerability  │ Severity │ Status │ Installed Version │    Fixed Version    │                            Title                             │
├────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ @openzeppelin/contracts (package.json) │ CVE-2021-46320 │ HIGH     │ fixed  │ 3.2.0             │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        ├────────────────┼──────────┤        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-39167 │ CRITICAL │        │ 3.3.0             │ 4.3.1, 3.4.2        │ TimelockController vulnerability in OpenZeppelin Contracts   │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-39167                   │
│                                        ├────────────────┼──────────┤        │                   ├─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-46320 │ HIGH     │        │                   │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        │                │          │        ├───────────────────┤                     │                                                              │
│                                        │                │          │        │ 3.4.2             │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ axios (package.json)                   │ CVE-2025-27152 │          │        │ 0.21.4            │ 1.8.2, 0.30.0       │ axios: Possible SSRF and Credential Leakage via Absolute URL │
│                                        │                │          │        │                   │                     │ in axios Requests...                                         │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-27152                   │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ cross-spawn (package.json)             │ CVE-2024-21538 │          │        │ 7.0.3             │ 7.0.5, 6.0.6        │ cross-spawn: regular expression denial of service            │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2024-21538                   │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ semver (package.json)                  │ CVE-2022-25883 │          │        │ 7.3.5             │ 7.5.2, 6.3.1, 5.7.2 │ nodejs-semver: Regular expression denial of service          │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2022-25883                   │
└────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────┴──────────────────────────────────────────────────────────────┘

@iexec-renovate-app iexec-renovate-app Bot force-pushed the renovate/patch-updates branch from 1e9a333 to 8bda0ac Compare June 14, 2025 01:05
@github-actions
Copy link
Copy Markdown

github-actions Bot commented Jun 14, 2025

🔒 Trivy Security Scan Results

Click to expand detailed results 

For OSS Maintainers: VEX Notice
--------------------------------
If you're an OSS maintainer and Trivy has detected vulnerabilities in your project that you believe are not actually exploitable, consider issuing a VEX (Vulnerability Exploitability eXchange) statement.
VEX allows you to communicate the actual status of vulnerabilities in your project, improving security transparency and reducing false positives for your users.
Learn more and start using VEX: https://aquasecurity.github.io/trivy/v0.57/docs/supply-chain/vex/repo#publishing-vex-documents

To disable this notice, set the TRIVY_DISABLE_VEX_NOTICE environment variable.


vuln-image.tar (debian 12.11)
=============================
Total: 0 (HIGH: 0, CRITICAL: 0)


Node.js (node-pkg)
==================
Total: 8 (HIGH: 7, CRITICAL: 1)

┌────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────┬──────────────────────────────────────────────────────────────┐
│                Library                 │ Vulnerability  │ Severity │ Status │ Installed Version │    Fixed Version    │                            Title                             │
├────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ @openzeppelin/contracts (package.json) │ CVE-2021-46320 │ HIGH     │ fixed  │ 3.2.0             │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        ├────────────────┼──────────┤        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-39167 │ CRITICAL │        │ 3.3.0             │ 4.3.1, 3.4.2        │ TimelockController vulnerability in OpenZeppelin Contracts   │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-39167                   │
│                                        ├────────────────┼──────────┤        │                   ├─────────────────────┼──────────────────────────────────────────────────────────────┤
│                                        │ CVE-2021-46320 │ HIGH     │        │                   │ 4.4.1               │ Improper Initialization in OpenZeppelin                      │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2021-46320                   │
│                                        │                │          │        ├───────────────────┤                     │                                                              │
│                                        │                │          │        │ 3.4.2             │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ axios (package.json)                   │ CVE-2025-27152 │          │        │ 0.21.4            │ 1.8.2, 0.30.0       │ axios: Possible SSRF and Credential Leakage via Absolute URL │
│                                        │                │          │        │                   │                     │ in axios Requests...                                         │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2025-27152                   │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ cross-spawn (package.json)             │ CVE-2024-21538 │          │        │ 7.0.3             │ 7.0.5, 6.0.6        │ cross-spawn: regular expression denial of service            │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2024-21538                   │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
│                                        │                │          │        │                   │                     │                                                              │
├────────────────────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ semver (package.json)                  │ CVE-2022-25883 │          │        │ 7.3.5             │ 7.5.2, 6.3.1, 5.7.2 │ nodejs-semver: Regular expression denial of service          │
│                                        │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2022-25883                   │
└────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────┴──────────────────────────────────────────────────────────────┘

iexec-voucher-subgraph/node_modules/@esbuild/linux-x64/bin/esbuild (gobinary)
=============================================================================
Total: 1 (HIGH: 1, CRITICAL: 0)

┌─────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────┬──────────────────────────────────────────────────────┐
│ Library │ Vulnerability  │ Severity │ Status │ Installed Version │  Fixed Version  │                        Title                         │
├─────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────┼──────────────────────────────────────────────────────┤
│ stdlib  │ CVE-2025-22874 │ HIGH     │ fixed  │ v1.23.7           │ 1.23.10, 1.24.4 │ crypto/x509: Usage of ExtKeyUsageAny disables policy │
│         │                │          │        │                   │                 │ validation in crypto/x509                            │
│         │                │          │        │                   │                 │ https://avd.aquasec.com/nvd/cve-2025-22874           │
└─────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────┴──────────────────────────────────────────────────────┘

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

javascript 🌐 patch 🩹 renovate

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

0 participants