Skip to content

[Bug]: Trivy scan vulns in 1.59 noble docker #39985

Closed as not planned
Closed as not planned
[Bug]: Trivy scan vulns in 1.59 noble docker#39985
@dimkin-eu

Description

@dimkin-eu
dimkin-eu
opened on Apr 1, 2026

Version

1.59

Steps to reproduce

trify scan finds such vulns

Total: 8 (HIGH: 8, CRITICAL: 0)
┌──────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────────────────────────────────────────┬───────────────────────────────────────────────────────────┐
│         Library          │ Vulnerability  │ Severity │ Status │ Installed Version │                      Fixed Version                      │                           Title                           │
├──────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────────────────────────────────────────┼───────────────────────────────────────────────────────────┤
│ minimatch (package.json) │ CVE-2026-27903 │ HIGH     │ fixed  │ 10.2.2            │ 10.2.3, 9.0.7, 8.0.6, 7.4.8, 6.2.2, 5.1.8, 4.2.5, 3.1.3 │ minimatch: minimatch: Denial of Service due to unbounded  │
│                          │                │          │        │                   │                                                         │ recursive backtracking via crafted...                     │
│                          │                │          │        │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2026-27903                │
│                          ├────────────────┤          │        │                   ├─────────────────────────────────────────────────────────┼───────────────────────────────────────────────────────────┤
│                          │ CVE-2026-27904 │          │        │                   │ 10.2.3, 9.0.7, 8.0.6, 7.4.8, 6.2.2, 5.1.8, 4.2.5, 3.1.4 │ minimatch: Minimatch: Denial of Service via catastrophic  │
│                          │                │          │        │                   │                                                         │ backtracking in glob expressions                          │
│                          │                │          │        │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2026-27904                │
│                          ├────────────────┤          │        ├───────────────────┼─────────────────────────────────────────────────────────┼───────────────────────────────────────────────────────────┤
│                          │ CVE-2026-26996 │          │        │ 9.0.5             │ 10.2.1, 9.0.6, 8.0.5, 7.4.7, 6.2.1, 5.1.7, 4.2.4, 3.1.3 │ minimatch: minimatch: Denial of Service via specially     │
│                          │                │          │        │                   │                                                         │ crafted glob patterns                                     │
│                          │                │          │        │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2026-26996                │
│                          ├────────────────┤          │        │                   ├─────────────────────────────────────────────────────────┼───────────────────────────────────────────────────────────┤
│                          │ CVE-2026-27903 │          │        │                   │ 10.2.3, 9.0.7, 8.0.6, 7.4.8, 6.2.2, 5.1.8, 4.2.5, 3.1.3 │ minimatch: minimatch: Denial of Service due to unbounded  │
│                          │                │          │        │                   │                                                         │ recursive backtracking via crafted...                     │
│                          │                │          │        │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2026-27903                │
│                          ├────────────────┤          │        │                   ├─────────────────────────────────────────────────────────┼───────────────────────────────────────────────────────────┤
│                          │ CVE-2026-27904 │          │        │                   │ 10.2.3, 9.0.7, 8.0.6, 7.4.8, 6.2.2, 5.1.8, 4.2.5, 3.1.4 │ minimatch: Minimatch: Denial of Service via catastrophic  │
│                          │                │          │        │                   │                                                         │ backtracking in glob expressions                          │
│                          │                │          │        │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2026-27904                │
├──────────────────────────┼────────────────┤          │        ├───────────────────┼─────────────────────────────────────────────────────────┼───────────────────────────────────────────────────────────┤
│ tar (package.json)       │ CVE-2026-23950 │          │        │ 7.5.3             │ 7.5.4                                                   │ node-tar: tar: node-tar: Arbitrary file overwrite via     │
│                          │                │          │        │                   │                                                         │ Unicode path collision race condition...                  │
│                          │                │          │        │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2026-23950                │
│                          ├────────────────┤          │        │                   ├─────────────────────────────────────────────────────────┼───────────────────────────────────────────────────────────┤
│                          │ CVE-2026-24842 │          │        │                   │ 7.5.7                                                   │ node-tar: tar: node-tar: Arbitrary file creation via path │
│                          │                │          │        │                   │                                                         │ traversal bypass in hardlink...                           │
│                          │                │          │        │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2026-24842                │
│                          ├────────────────┤          │        │                   ├─────────────────────────────────────────────────────────┼───────────────────────────────────────────────────────────┤
│                          │ CVE-2026-26960 │          │        │                   │ 7.5.8                                                   │ tar: node-tar: node-tar: Arbitrary file read/write via    │
│                          │                │          │        │                   │                                                         │ malicious archive hardlink creation                       │
│                          │                │          │        │                   │                                                         │ https://avd.aquasec.com/nvd/cve-2026-26960                │
└──────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────────────────────────────────────────┴───────────────────────────────────────────────────────────┘

Expected behavior

no security issues

Actual behavior

2 packages affected

Additional context

No response

Environment

trivy scan of image FROM mcr.microsoft.com/playwright:v1.59.0-noble

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Type

    No type

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions