Report Summary ┌─────────────────────────────────────────────────────────────────────┬─────────┬─────────────────┐ │ Target │ Type │ Vulnerabilities │ ├─────────────────────────────────────────────────────────────────────┼─────────┼─────────────────┤ │ Gemfile.lock │ bundler │ 57 │ ├─────────────────────────────────────────────────────────────────────┼─────────┼─────────────────┤ │ vendor/bundle/ruby/2.6.0/gems/bcrypt-3.1.13/Gemfile.lock │ bundler │ 1 │ ├─────────────────────────────────────────────────────────────────────┼─────────┼─────────────────┤ │ vendor/bundle/ruby/2.6.0/gems/builder-3.3.0/Gemfile.lock │ bundler │ 0 │ ├─────────────────────────────────────────────────────────────────────┼─────────┼─────────────────┤ │ vendor/bundle/ruby/2.6.0/gems/database_cleaner-1.8.4/Gemfile.lock │ bundler │ 34 │ ├─────────────────────────────────────────────────────────────────────┼─────────┼─────────────────┤ │ vendor/bundle/ruby/2.6.0/gems/declarative-option-0.1.0/Gemfile.lock │ bundler │ 1 │ ├─────────────────────────────────────────────────────────────────────┼─────────┼─────────────────┤ │ vendor/bundle/ruby/2.6.0/gems/os-1.1.1/Gemfile.lock │ bundler │ 1 │ └─────────────────────────────────────────────────────────────────────┴─────────┴─────────────────┘ Legend: - '-': Not scanned - '0': Clean (no security findings detected) Gemfile.lock (bundler) ====================== Total: 57 (UNKNOWN: 0, LOW: 10, MEDIUM: 24, HIGH: 20, CRITICAL: 3) ┌─────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬────────────────────────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ actionmailer │ CVE-2024-47889 │ LOW │ fixed │ 6.1.7.8 │ ~> 6.1.7.9, ~> 7.0.8, >= 7.0.8.5, ~> 7.1.4, >= 7.1.4.1, >= │ rubygem-actionmailer: Possible ReDoS vulnerability in │ │ │ │ │ │ │ 7.2.1.1 │ block_format in Action Mailer │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-47889 │ ├─────────────────┼─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ actionpack │ CVE-2024-54133 │ MEDIUM │ │ │ ~> 7.0.8, >= 7.0.8.7, ~> 7.1.5, >= 7.1.5.1, ~> 7.2.2, >= │ actionpack: Possible Content Security Policy bypass in │ │ │ │ │ │ │ 7.2.2.1, >= 8.0.0.1 │ Action Dispatch │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-54133 │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-41128 │ LOW │ │ │ ~> 6.1.7.9, ~> 7.0.8, >= 7.0.8.5, ~> 7.1.4, >= 7.1.4.1, >= │ rubygem-actionpack: Possible ReDoS vulnerability in query │ │ │ │ │ │ │ 7.2.1.1 │ parameter filtering in Action Dispatch │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-41128 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-47887 │ │ │ │ │ rubygem-actionpack: Possible ReDoS vulnerability in HTTP │ │ │ │ │ │ │ │ Token authentication in Action Controller │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-47887 │ ├─────────────────┼─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ actiontext │ CVE-2024-47888 │ │ │ │ │ rubygem-actiontext: Possible ReDoS vulnerability in │ │ │ │ │ │ │ │ plain_text_for_blockquote_node in Action Text │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-47888 │ ├─────────────────┼─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ activerecord │ CVE-2025-55193 │ MEDIUM │ │ │ ~> 7.1.5, >= 7.1.5.2, ~> 7.2.2, >= 7.2.2.2, >= 8.0.2.1 │ activerecord: Active Record ANSI Injection Vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-55193 │ ├─────────────────┼─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤ │ activestorage │ CVE-2025-24293 │ CRITICAL │ │ │ │ Active Storage allowed transformation methods that were │ │ │ │ │ │ │ │ potentially unsafe │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-24293 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ addressable │ CVE-2021-32740 │ HIGH │ │ 2.7.0 │ >= 2.8.0 │ rubygem-addressable: ReDoS in templates │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-32740 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ audited │ CVE-2024-22047 │ LOW │ │ 4.10.0 │ >= 5.3.3 │ audited: race condition can lead to audit logs being │ │ │ │ │ │ │ │ incorrectly attributed to... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22047 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ doorkeeper │ CVE-2023-34246 │ MEDIUM │ │ 5.5.1 │ >= 5.6.6 │ Doorkeeper is an OAuth 2 provider for Ruby on Rails / │ │ │ │ │ │ │ │ Grape.... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-34246 │ ├─────────────────┼─────────────────────┤ │ ├───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ fugit │ CVE-2024-43380 │ │ │ 1.3.8 │ >= 1.11.1 │ fugit: Improper input validation in "natural" parser may │ │ │ │ │ │ │ │ lead to DoS │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-43380 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ net-imap │ CVE-2025-43857 │ HIGH │ │ 0.3.7 │ ~> 0.2.5, ~> 0.3.9, ~> 0.4.20, >= 0.5.7 │ net-imap: net-imap rubygem vulnerable to possible DoS by │ │ │ │ │ │ │ │ memory exhaustion │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-43857 │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-25186 │ MEDIUM │ │ │ ~> 0.3.8, ~> 0.4.19, >= 0.5.6 │ net-imap: Net::IMAP vulnerable to possible DoS by memory │ │ │ │ │ │ │ │ exhaustion │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-25186 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ nokogiri │ GHSA-353f-x4gh-cqq8 │ CRITICAL │ │ 1.13.10 │ >= 1.18.9 │ Nokogiri patches vendored libxml2 to resolve multiple CVEs │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-353f-x4gh-cqq8 │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ GHSA-mrxw-mxhj-p664 │ HIGH │ │ │ >= 1.18.4 │ Nokogiri updates packaged libxslt to v1.1.43 to resolve │ │ │ │ │ │ │ │ multiple CVEs │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-mrxw-mxhj-p664 │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ GHSA-pxvg-2qj5-37jq │ MEDIUM │ │ │ >= 1.14.3 │ Update packaged libxml2 to v2.10.4 to resolve multiple CVEs │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-pxvg-2qj5-37jq │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ GHSA-xc9x-jj77-9p9j │ │ │ │ ~> 1.15.6, >= 1.16.2 │ Use-after-free in libxml2 via Nokogiri::XML::Reader │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-xc9x-jj77-9p9j │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ GHSA-5w6v-399v-w3cc │ LOW │ │ │ >= 1.18.8 │ Nokogiri updates packaged libxml2 to v2.13.8 to resolve │ │ │ │ │ │ │ │ CVE-2025-32414 and CVE-2025-32415 │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-5w6v-399v-w3cc │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ GHSA-r95h-9x8f-r3f7 │ │ │ │ >= 1.16.5 │ Nokogiri updates packaged libxml2 to v2.12.7 to resolve │ │ │ │ │ │ │ │ CVE-2024-34459 │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-r95h-9x8f-r3f7 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ GHSA-vvfq-8hwr-qm4m │ │ │ │ >= 1.18.3 │ Nokogiri updates packaged libxml2 to 2.13.6 to resolve │ │ │ │ │ │ │ │ CVE-2025-24928 and CVE-2024-56171 │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-vvfq-8hwr-qm4m │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ puma │ CVE-2022-24790 │ CRITICAL │ │ 4.3.3 │ ~> 4.3.12, >= 5.6.4 │ puma-5.6.4: http request smuggling vulnerabilities │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-24790 │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-11076 │ HIGH │ │ │ ~> 3.12.5, >= 4.3.4 │ rubygem-puma: HTTP Smuggling via an invalid │ │ │ │ │ │ │ │ Transfer-Encoding Header │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11076 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-29509 │ │ │ │ ~> 4.3.8, >= 5.3.1 │ rubygem-puma: incomplete fix for CVE-2019-16770 allows │ │ │ │ │ │ │ │ Denial of Service (DoS) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-29509 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-23634 │ │ │ │ ~> 4.3.11, >= 5.6.2 │ rubygem-puma: rubygem-rails: information leak between │ │ │ │ │ │ │ │ requests │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23634 │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-11077 │ MEDIUM │ │ │ ~> 3.12.6, >= 4.3.5 │ rubygem-puma: HTTP Smuggling through a proxy via │ │ │ │ │ │ │ │ Transfer-Encoding Header │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-11077 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-40175 │ │ │ │ ~> 5.6.7, >= 6.3.1 │ rubygem-puma: HTTP request smuggling when parsing chunked │ │ │ │ │ │ │ │ transfer encoding bodies and zero-length... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-40175 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-21647 │ │ │ │ ~> 5.6.8, >= 6.4.2 │ rubygem-puma: HTTP request smuggling when parsing chunked │ │ │ │ │ │ │ │ Transfer-Encoding Bodies │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-21647 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-45614 │ │ │ │ ~> 5.6.9, >= 6.4.3 │ rubygem-puma: Header normalization allows for client to │ │ │ │ │ │ │ │ clobber proxy set headers │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45614 │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2021-41136 │ LOW │ │ │ ~> 4.3.9, >= 5.5.1 │ rubygem-puma: Inconsistent Interpretation of HTTP Requests │ │ │ │ │ │ │ │ ('HTTP Request Smuggling') in puma │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-41136 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ rack │ CVE-2025-27111 │ HIGH │ │ 2.2.9 │ ~> 2.2.12, ~> 3.0.13, >= 3.1.11 │ rack: rubygem-rack: Escape Sequence Injection vulnerability │ │ │ │ │ │ │ │ in Rack lead to Possible Log... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-27111 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-27610 │ │ │ │ ~> 2.2.13, ~> 3.0.14, >= 3.1.12 │ rack: rubygem-rack: Local File Inclusion in Rack::Static │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-27610 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-46727 │ │ │ │ ~> 2.2.14, ~> 3.0.16, >= 3.1.14 │ rubygem-rack: Unbounded-Parameter DoS in Rack::QueryParser │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-46727 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-59830 │ │ │ │ >= 2.2.18 │ rubygem-rack: Rack QueryParser has an unsafe default │ │ │ │ │ │ │ │ allowing params_limit bypass via semicolon-separated... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-59830 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61770 │ │ │ │ ~> 2.2.19, ~> 3.1.17, >= 3.2.2 │ rack: Rack's unbounded multipart preamble buffering enables │ │ │ │ │ │ │ │ DoS (memory exhaustion) │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61770 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61771 │ │ │ │ │ rack: Rack's multipart parser buffers large non‑file fields │ │ │ │ │ │ │ │ entirely in memory, enabling... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61771 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61772 │ │ │ │ │ rack: Rack memory exhaustion denial of service │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61772 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61919 │ │ │ │ ~> 2.2.20, ~> 3.1.18, >= 3.2.3 │ rubygem-rack: Unbounded read in `Rack::Request` form parsing │ │ │ │ │ │ │ │ can lead to memory exhaustion... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61919 │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-25184 │ MEDIUM │ │ │ ~> 2.2.11, ~> 3.0.12, >= 3.1.10 │ rubygem-rack: Possible Log Injection in Rack::CommonLogger │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-25184 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-32441 │ │ │ │ >= 2.2.14 │ rack: Rack Session Reuse Vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-32441 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61780 │ │ │ │ ~> 2.2.20, ~> 3.1.18, >= 3.2.3 │ rubygem-rack: Improper handling of headers in │ │ │ │ │ │ │ │ `Rack::Sendfile` may allow proxy bypass │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61780 │ ├─────────────────┼─────────────────────┤ │ ├───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ rack-protection │ CVE-2018-1000119 │ │ │ 2.0.0.rc2 │ ~> 1.5.5, >= 2.0.0 │ rack-protection: Timing attack in authenticity_token.rb │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-1000119 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2018-7212 │ │ │ │ >= 2.0.1, ~> 1.5.4 │ rubygem-sinatra: path traversal via backslash characters │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-7212 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ rexml │ CVE-2021-28965 │ HIGH │ │ 3.2.4 │ ~> 3.1.9.1, ~> 3.2.3.1, >= 3.2.5 │ ruby: XML round-trip vulnerability in REXML │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-28965 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-49761 │ │ │ │ >= 3.3.9 │ rexml: REXML ReDoS vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-49761 │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-35176 │ MEDIUM │ │ │ >= 3.2.7 │ REXML: DoS parsing an XML with many `<`s in an attribute │ │ │ │ │ │ │ │ value... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-35176 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-39908 │ │ │ │ >= 3.3.2 │ rexml: DoS vulnerability in REXML │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-39908 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-41123 │ │ │ │ >= 3.3.3 │ rexml: rubygem-rexml: DoS when parsing an XML having many │ │ │ │ │ │ │ │ specific characters such... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-41123 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-41946 │ │ │ │ │ rexml: DoS vulnerability in REXML │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-41946 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-43398 │ │ │ │ >= 3.3.6 │ rexml: DoS vulnerability in REXML │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-43398 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ sidekiq │ CVE-2022-23837 │ HIGH │ │ 5.2.7 │ >= 6.4.0, ~> 5.2.10 │ sidekiq: WebUI Denial of Service caused by number of days on │ │ │ │ │ │ │ │ graph... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-23837 │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-26141 │ MEDIUM │ │ │ ~> 6.5.10, >= 7.1.3 │ sidekiq: DoS in dashboard-charts │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-26141 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ sinatra │ CVE-2022-29970 │ HIGH │ │ 2.0.0.rc2 │ >= 2.2.0 │ sinatra: path traversal possible outside of public_dir when │ │ │ │ │ │ │ │ serving static files │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-29970 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-45442 │ │ │ │ ~> 2.2.3, >= 3.0.4 │ sinatra: Reflected File Download attack │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-45442 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61921 │ │ │ │ >= 4.2.0 │ sinatra: Sinatra has ReDoS vulnerability in ETag header │ │ │ │ │ │ │ │ value generation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61921 │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2018-11627 │ MEDIUM │ │ │ >= 2.0.2 │ rubygem-sinatra: XSS in the 400 Bad Request page │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-11627 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-21510 │ │ │ │ >= 4.1.0 │ sinatra: Open Redirect Vulnerability in Sinatra via │ │ │ │ │ │ │ │ X-Forwarded-Host Header │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-21510 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ thor │ CVE-2025-54314 │ LOW │ │ 1.3.1 │ >= 1.4.0 │ thor: Thor Command Injection Vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-54314 │ └─────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴────────────────────────────────────────────────────────────┴──────────────────────────────────────────────────────────────┘ vendor/bundle/ruby/2.6.0/gems/bcrypt-3.1.13/Gemfile.lock (bundler) ================================================================== Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0) ┌─────────┬───────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────┼───────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────┤ │ rake │ CVE-2020-8130 │ HIGH │ fixed │ 12.3.2 │ >= 12.3.3 │ rake: OS Command Injection via egrep in Rake::FileList │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8130 │ └─────────┴───────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────┘ vendor/bundle/ruby/2.6.0/gems/database_cleaner-1.8.4/Gemfile.lock (bundler) =========================================================================== Total: 34 (UNKNOWN: 0, LOW: 1, MEDIUM: 13, HIGH: 15, CRITICAL: 5) ┌───────────────┬────────────────┬──────────┬────────┬───────────────────┬──────────────────────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├───────────────┼────────────────┼──────────┼────────┼───────────────────┼──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ activerecord │ CVE-2013-0155 │ CRITICAL │ fixed │ 3.0.0 │ ~> 2.3.16, ~> 3.0.19, ~> 3.1.10, >= 3.2.11 │ rubygem-activerecord: Unsafe Query Generation Risk in Ruby │ │ │ │ │ │ │ │ on Rails │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-0155 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2013-0277 │ │ │ │ ~> 2.3.17, >= 3.1.0 │ rubygem-activerecord: Serialized Attributes YAML │ │ │ │ │ │ │ │ Vulnerability with Rails 2.3 and 3.0 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-0277 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-32224 │ │ │ │ ~> 5.2.8, >= 5.2.8.1, ~> 6.0.5, >= 6.0.5.1, ~> 6.1.6, >= │ activerecord: Possible RCE escalation bug with Serialized │ │ │ │ │ │ │ 6.1.6.1, >= 7.0.3.1 │ Columns in Active Record │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-32224 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2011-0448 │ HIGH │ │ │ ~> 2.3.11, > 3.0.4 │ Potential SQL Injection with limit in rails/activerecord │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-0448 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2011-2930 │ │ │ │ ~> 2.3.13, ~> 3.0.10, ~> 3.1.0.rc5, >= 3.1.0 │ Multiple SQL injection vulnerabilities in the │ │ │ │ │ │ │ │ quote_table_name method ... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-2930 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2012-2660 │ │ │ │ ~> 3.0.13, ~> 3.1.5, >= 3.2.4 │ rubygem-actionpack: Unsafe query generation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2012-2660 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2012-2695 │ │ │ │ ~> 3.0.14, ~> 3.1.6, >= 3.2.6 │ rubygem-activerecord: SQL injection when processing nested │ │ │ │ │ │ │ │ query paramaters (a different flaw than... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2012-2695 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2014-3482 │ │ │ │ ~> 3.2.19 │ rubygem-activerecord: SQL injection vulnerability in │ │ │ │ │ │ │ │ 'bitstring' quoting │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2014-3482 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2022-44566 │ │ │ │ ~> 5.2.8, ~> 6.1.7, >= 6.1.7.1, >= 7.0.4.1 │ rubygem-activerecord: Denial of Service │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-44566 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2010-3933 │ MEDIUM │ │ │ ~> 2.3.9, >= 3.0.1 │ Security Vulnerability in Nested Attributes code in Ruby On │ │ │ │ │ │ │ │ Rails 2.3.9 and... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2010-3933 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2012-2661 │ │ │ │ ~> 3.0.13, ~> 3.1.5, >= 3.2.4 │ rubygem-activerecord: SQL injection when processing nested │ │ │ │ │ │ │ │ query paramaters │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2012-2661 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2012-6496 │ │ │ │ ~> 3.0.18, ~> 3.1.9, >= 3.2.10 │ rubygem-activerecord: find_by_* SQL Injection │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2012-6496 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2013-0276 │ │ │ │ ~> 2.3.17, ~> 3.1.11, >= 3.2.12 │ rubygem-activerecord/rubygem-activemodel: circumvention of │ │ │ │ │ │ │ │ attr_protected │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-0276 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-55193 │ │ │ │ ~> 7.1.5, >= 7.1.5.2, ~> 7.2.2, >= 7.2.2.2, >= 8.0.2.1 │ activerecord: Active Record ANSI Injection Vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-55193 │ ├───────────────┼────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ activesupport │ CVE-2013-0333 │ CRITICAL │ │ │ ~> 2.3.16, >= 3.0.20 │ rubygem-activesupport: json to yaml parsing │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-0333 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2020-8165 │ │ │ │ ~> 5.2.4, >= 5.2.4.3, >= 6.0.3.1 │ rubygem-activesupport: potentially unintended unmarshalling │ │ │ │ │ │ │ │ of user-provided objects in MemCacheStore and │ │ │ │ │ │ │ │ RedisCacheStore │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8165 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2013-1856 │ HIGH │ │ │ ~> 3.1.12, >= 3.2.13 │ XML Parsing Vulnerability affecting JRuby users │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-1856 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-22796 │ │ │ │ ~> 5.2.8, ~> 6.1.7, >= 6.1.7.1, >= 7.0.4.1 │ rubygem-activesupport: Regular Expression Denial of Service │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-22796 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2011-2197 │ MEDIUM │ │ │ ~> 2.3.12, >= 3.0.8 │ Potential XSS Vulnerability in Ruby on Rails Applications │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-2197 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2011-2932 │ │ │ │ ~> 2.3.13, ~> 3.0.10, ~> 3.1.0.rc5, >= 3.1.0 │ Cross-site scripting (XSS) vulnerability in │ │ │ │ │ │ │ │ activesupport/lib/active_s ... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-2932 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2012-1098 │ │ │ │ ~> 3.0.12, ~> 3.1.4, >= 3.2.2 │ rubygem-activesupport: XSS in SafeBuffer#[] (unescaped safe │ │ │ │ │ │ │ │ buffers can be marked as safe)... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2012-1098 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2012-3464 │ │ │ │ ~> 3.0.17, ~> 3.1.8, >= 3.2.8 │ rubygem-actionpack: potential XSS vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2012-3464 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2015-3227 │ │ │ │ >= 4.2.2, ~> 4.1.11, ~> 3.2.22 │ rubygem-activesupport: Possible Denial of Service attack in │ │ │ │ │ │ │ │ Active Support in merge_element() │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-3227 │ │ ├────────────────┤ │ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2023-28120 │ │ │ │ ~> 6.1.7, >= 6.1.7.3, >= 7.0.4.3 │ rubygem-activesupport: Possible XSS in SafeBuffer#bytesplice │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-28120 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ addressable │ CVE-2021-32740 │ HIGH │ │ 2.3.6 │ >= 2.8.0 │ rubygem-addressable: ReDoS in templates │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-32740 │ ├───────────────┼────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ bson │ CVE-2015-4411 │ │ │ 1.12.5 │ >= 3.0.4 │ rubygem-moped: Denial of Service with crafted ObjectId │ │ │ │ │ │ │ │ string (incomplete fix for CVE-2015-4410)... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-4411 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ httparty │ CVE-2024-22049 │ MEDIUM │ │ 0.13.3 │ >= 0.21.0 │ httparty before 0.21.0 is vulnerable to an assumed-immutable │ │ │ │ │ │ │ │ web param ... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-22049 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ i18n │ CVE-2014-10077 │ HIGH │ │ 0.4.2 │ >= 0.8.0 │ rubygem-i18n: denial of service in Hash#slice in │ │ │ │ │ │ │ │ lib/i18n/core_ext/hash.rb │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2014-10077 │ │ ├────────────────┼──────────┤ │ ├──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2013-4492 │ MEDIUM │ │ │ ~> 0.5.1, >= 0.6.6 │ rubygem-i18n: cross-site scripting flaw in exception │ │ │ │ │ │ │ │ handling │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2013-4492 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ json │ CVE-2020-10663 │ HIGH │ │ 1.8.6 │ >= 2.3.0 │ rubygem-json: Unsafe object creation vulnerability in JSON │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-10663 │ ├───────────────┼────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ moped │ CVE-2015-4410 │ │ │ 1.5.2 │ ~> 1.5.3, >= 2.0.5 │ rubygem-moped: Denial of Service with crafted ObjectId │ │ │ │ │ │ │ │ string │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2015-4410 │ ├───────────────┼────────────────┤ │ ├───────────────────┼──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ rake │ CVE-2020-8130 │ │ │ 11.1.2 │ >= 12.3.3 │ rake: OS Command Injection via egrep in Rake::FileList │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8130 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ thor │ CVE-2025-54314 │ LOW │ │ 0.20.0 │ >= 1.4.0 │ thor: Thor Command Injection Vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-54314 │ ├───────────────┼────────────────┼──────────┤ ├───────────────────┼──────────────────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ tzinfo │ CVE-2022-31163 │ HIGH │ │ 0.3.48 │ ~> 0.3.61, >= 1.2.10 │ rubygem-tzinfo: arbitrary code execution │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2022-31163 │ └───────────────┴────────────────┴──────────┴────────┴───────────────────┴──────────────────────────────────────────────────────────┴──────────────────────────────────────────────────────────────┘ vendor/bundle/ruby/2.6.0/gems/declarative-option-0.1.0/Gemfile.lock (bundler) ============================================================================= Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0) ┌─────────┬───────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────┼───────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────┤ │ rake │ CVE-2020-8130 │ HIGH │ fixed │ 12.0.0 │ >= 12.3.3 │ rake: OS Command Injection via egrep in Rake::FileList │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8130 │ └─────────┴───────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────┘ vendor/bundle/ruby/2.6.0/gems/os-1.1.1/Gemfile.lock (bundler) ============================================================= Total: 1 (UNKNOWN: 0, LOW: 0, MEDIUM: 0, HIGH: 1, CRITICAL: 0) ┌─────────┬───────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────┼───────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────┤ │ rake │ CVE-2020-8130 │ HIGH │ fixed │ 0.9.6 │ >= 12.3.3 │ rake: OS Command Injection via egrep in Rake::FileList │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2020-8130 │ └─────────┴───────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────┘