Debian Bookworm CVE-2025-49794 detected in libxml2 2.9.14+dfsg-1.3~deb12u4 despite Debian's tracker reporting this version as fixed #9426

someone-stole-my-name · 2025-09-03T09:03:09Z

someone-stole-my-name
Sep 3, 2025

IDs

CVE-2025-49794

Description

Trivy is detecting CVE-2025-49794 in Bookworm derived images with versions of libxml2 marked as fixed in the Debian tracker, eg 2.9.14+dfsg-1.3~deb12u4.

Reproduction Steps

#!/bin/bash
dockerfile=$(mktemp --suffix .Dockerfile)
cat <<'EOF' > "$dockerfile"
FROM debian:bookworm-slim

RUN \
	apt-get update \
	&& apt-get -yqq upgrade \
	&& apt-get -yqq --no-install-recommends install \
		libxml2
EOF

image=$(docker build -q - < "$dockerfile")
rm -f "$dockerfile"

echo "Installed: $(docker run --rm "$image" dpkg-query -W -f='${Version}' libxml2)"
echo
docker run \
       -v /var/run/docker.sock:/var/run/docker.sock \
       aquasec/trivy:latest image "$image" 2>/dev/null | grep CVE-2025-49794

Target

Container Image

Scanner

Vulnerability

Target OS

Debian Bookworm

Debug Output

2025-09-03T08:54:17Z    DEBUG   No plugins loaded
2025-09-03T08:54:17Z    DEBUG   Default config file "file_path=trivy.yaml" not found, using built in values
2025-09-03T08:54:17Z    DEBUG   Cache dir       dir="/root/.cache/trivy"
2025-09-03T08:54:17Z    DEBUG   Cache dir       dir="/root/.cache/trivy"
2025-09-03T08:54:17Z    DEBUG   Parsed severities       severities=[UNKNOWN LOW MEDIUM HIGH CRITICAL]
2025-09-03T08:54:17Z    DEBUG   Ignore statuses statuses=[]
2025-09-03T08:54:17Z    DEBUG   [vulndb] There is no db file
2025-09-03T08:54:17Z    DEBUG   [vulndb] There is no valid metadata file        err.message="file open error" err.err="file open error: open /root/.cache/trivy/db/metadata.json: no such file or directory" err.time=2025-09-03T08:54:17.500461111Z err.trace="01K47CHC4WCQYVT4JJKCSEHRT3" err.context.file_path="/root/.cache/trivy/db/metadata.json" err.stacktrace="Oops: file open error\n  --- at /home/runner/go/pkg/mod/github.com/aquasecurity/[email protected]/pkg/metadata/metadata.go:43 Client.Get()\n  --- at /home/runner/work/trivy/trivy/pkg/db/db.go:105 Client.NeedsUpdate()\n  --- at /home/runner/work/trivy/trivy/pkg/commands/operation/operation.go:33 DownloadDB()\n  --- at /home/runner/work/trivy/trivy/pkg/commands/artifact/run.go:324 runner.initDB()\n  --- at /home/runner/work/trivy/trivy/pkg/commands/artifact/run.go:135 NewRunner()\n  --- at /home/runner/work/trivy/trivy/pkg/commands/artifact/run.go:426 run()\n  --- at /home/runner/work/trivy/trivy/pkg/commands/artifact/run.go:412 Run()\n  --- at /home/runner/work/trivy/trivy/pkg/commands/app.go:317 NewImageCommand.func2()\n  --- at /home/runner/go/pkg/mod/github.com/spf13/[email protected]/command.go:1015 Command.execute()\n  --- at /home/runner/go/pkg/mod/github.com/spf13/[email protected]/command.go:1148 Command.ExecuteC()"
2025-09-03T08:54:17Z    INFO    [vulndb] Need to update DB
2025-09-03T08:54:17Z    INFO    [vulndb] Downloading vulnerability DB...
2025-09-03T08:54:17Z    INFO    [vulndb] Downloading artifact...        repo="mirror.gcr.io/aquasec/trivy-db:2"
2025-09-03T08:54:17Z    DEBUG   Created process-specific temp directory path="/tmp/trivy-1"
2025-09-03T08:54:21Z    INFO    [vulndb] Artifact successfully downloaded       repo="mirror.gcr.io/aquasec/trivy-db:2"                                                                        
2025-09-03T08:54:21Z    DEBUG   Updating database metadata...
2025-09-03T08:54:21Z    DEBUG   DB info schema=2 updated_at=2025-09-03T06:25:34.50981929Z next_update=2025-09-04T06:25:34.50981905Z downloaded_at=2025-09-03T08:54:21.088403074Z
2025-09-03T08:54:21Z    DEBUG   [pkg] Package types     types=[os library]
2025-09-03T08:54:21Z    DEBUG   [pkg] Package relationships     relationships=[unknown root workspace direct indirect]                                                         
2025-09-03T08:54:21Z    INFO    [vuln] Vulnerability scanning is enabled
2025-09-03T08:54:21Z    DEBUG   Initializing scan cache...      type="fs"
2025-09-03T08:54:21Z    DEBUG   [notification] Running version check
2025-09-03T08:54:21Z    DEBUG   [notification] Version check completed  latest_version="0.66.0"
2025-09-03T08:54:21Z    DEBUG   [image] Image found     image="sha256:b6c2f1c4f4340f3fcdeecc3326dcb511e038347b31da7630a2fbd9915a26fde7" source="docker"                
2025-09-03T08:54:21Z    DEBUG   [image] Detected image ID       image_id="sha256:b6c2f1c4f4340f3fcdeecc3326dcb511e038347b31da7630a2fbd9915a26fde7"                             
2025-09-03T08:54:21Z    DEBUG   [image] Detected diff ID        diff_ids=[sha256:f0f023a634822e4d1dacfa8dfd82bee43b4e781c712de7cf9bcf60f0d2784d6a sha256:1320854da8b473edceeddc23eadf1be5e2253e39883894aea1b005e52b5d3731]
2025-09-03T08:54:21Z    DEBUG   [image] Detected base layers    diff_ids=[]
2025-09-03T08:54:21Z    DEBUG   [image] Missing image ID in cache       image_id="sha256:b6c2f1c4f4340f3fcdeecc3326dcb511e038347b31da7630a2fbd9915a26fde7"                             
2025-09-03T08:54:21Z    DEBUG   [image] Missing diff ID in cache        diff_id="sha256:f0f023a634822e4d1dacfa8dfd82bee43b4e781c712de7cf9bcf60f0d2784d6a"                              
2025-09-03T08:54:21Z    DEBUG   [image] Missing diff ID in cache        diff_id="sha256:1320854da8b473edceeddc23eadf1be5e2253e39883894aea1b005e52b5d3731"                              
2025-09-03T08:54:22Z    DEBUG   [dpkg] Unable to parse the available file       file_path="var/lib/dpkg/available" err="file open error: open var/lib/dpkg/available: file does not exist"     
2025-09-03T08:54:22Z    DEBUG   [secret] Using streaming scanner        file_path="config.json"
2025-09-03T08:54:22Z    DEBUG   [secret] scanStream called      file_path="config.json" buffer_size=65536 overlap_size=4096                                                    
2025-09-03T08:54:22Z    DEBUG   [secret] scanChunk called       file_path="config.json" content_len=898 num_rules=87                                                           
2025-09-03T08:54:22Z    DEBUG   [secret] scanChunk called       file_path="config.json" content_len=898 num_rules=87                                                           
2025-09-03T08:54:22Z    DEBUG   No secrets found in container image config
2025-09-03T08:54:22Z    INFO    Detected OS     family="debian" version="12.11"
2025-09-03T08:54:22Z    INFO    [debian] Detecting vulnerabilities...   os_version="12" pkg_num=90
2025-09-03T08:54:22Z    INFO    Number of language-specific files       num=0
2025-09-03T08:54:22Z    WARN    Using severities from other vendors for some vulnerabilities. Read https://trivy.dev/v0.66/docs/scanner/vulnerability#severity-selection for details.
2025-09-03T08:54:22Z    DEBUG   Specified ignore file does not exist    file=".trivyignore"
2025-09-03T08:54:22Z    DEBUG   [vex] VEX filtering is disabled

Report Summary

┌─────────────────────────────────────────────────────────────────────────────────┬────────┬─────────────────┐
│                                     Target                                      │  Type  │ Vulnerabilities │
├─────────────────────────────────────────────────────────────────────────────────┼────────┼─────────────────┤
│ sha256:b6c2f1c4f4340f3fcdeecc3326dcb511e038347b31da7630a2fbd9915a26fde7 (debian │ debian │       86        │
│ 12.11)                                                                          │        │                 │
└─────────────────────────────────────────────────────────────────────────────────┴────────┴─────────────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)


sha256:b6c2f1c4f4340f3fcdeecc3326dcb511e038347b31da7630a2fbd9915a26fde7 (debian 12.11)
======================================================================================
Total: 86 (UNKNOWN: 1, LOW: 60, MEDIUM: 14, HIGH: 8, CRITICAL: 3)

┌────────────────────┬─────────────────────┬──────────┬──────────────┬─────────────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│      Library       │    Vulnerability    │ Severity │    Status    │    Installed Version    │ Fixed Version │                            Title                             │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ apt                │ CVE-2011-3374       │ LOW      │ affected     │ 2.6.1                   │               │ It was found that apt-key in apt, all versions, do not       │
│                    │                     │          │              │                         │               │ correctly...                                                 │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2011-3374                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ bash               │ TEMP-0841856-B18BAF │          │              │ 5.2.15-2+b8             │               │ [Privilege escalation possible to other user than root]      │
│                    │                     │          │              │                         │               │ https://security-tracker.debian.org/tracker/TEMP-0841856-B1- │
│                    │                     │          │              │                         │               │ 8BAF                                                         │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils           │ CVE-2022-0563       │          │              │ 1:2.38.1-5+deb12u3      │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                         │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┤          ├──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ coreutils          │ CVE-2016-2781       │          │ will_not_fix │ 9.1-1                   │               │ coreutils: Non-privileged session can escape to the parent   │
│                    │                     │          │              │                         │               │ session in chroot                                            │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2016-2781                    │       
│                    ├─────────────────────┤          ├──────────────┤                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2017-18018      │          │ affected     │                         │               │ coreutils: race condition vulnerability in chown and chgrp   │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2017-18018                   │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-5278       │          │              │                         │               │ coreutils: Heap Buffer Under-Read in GNU Coreutils sort via  │
│                    │                     │          │              │                         │               │ Key Specification                                            │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-5278                    │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ dpkg               │ CVE-2025-6297       │ UNKNOWN  │              │ 1.21.22                 │               │ It was discovered that dpkg-deb does not properly sanitize   │
│                    │                     │          │              │                         │               │ directory p ......                                           │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-6297                    │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gcc-12-base        │ CVE-2022-27943      │ LOW      │              │ 12.2.0-14+deb12u1       │               │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                    │                     │          │              │                         │               │ stack exhaustion in demangle_const                           │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ gpgv               │ CVE-2022-3219       │          │              │ 2.2.40-1.1              │               │ gnupg: denial of service issue (resource consumption) using  │
│                    │                     │          │              │                         │               │ compressed packets                                           │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-3219                    │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-30258      │          │              │                         │               │ gnupg: verification DoS due to a malicious subkey in the     │
│                    │                     │          │              │                         │               │ keyring                                                      │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-30258                   │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libapt-pkg6.0      │ CVE-2011-3374       │          │              │ 2.6.1                   │               │ It was found that apt-key in apt, all versions, do not       │
│                    │                     │          │              │                         │               │ correctly...                                                 │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2011-3374                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libblkid1          │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u3        │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                         │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libc-bin           │ CVE-2025-4802       │ HIGH     │              │ 2.36-9+deb12u10         │               │ glibc: static setuid binary dlopen may incorrectly search    │
│                    │                     │          │              │                         │               │ LD_LIBRARY_PATH                                              │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-4802                    │
│                    ├─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-8058       │ MEDIUM   │              │                         │               │ glibc: Double free in glibc                                  │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-8058                    │
│                    ├─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤                                     
│                    │ CVE-2010-4756       │ LOW      │              │                         │               │ glibc: glob implementation can cause excessive CPU and       │
│                    │                     │          │              │                         │               │ memory consumption due to...                                 │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2018-20796      │          │              │                         │               │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                         │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010022    │          │              │                         │               │ glibc: stack guard protection bypass                         │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010023    │          │              │                         │               │ glibc: running ldd on malicious ELF leads to code execution  │
│                    │                     │          │              │                         │               │ because of...                                                │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010024    │          │              │                         │               │ glibc: ASLR bypass using cache of thread stack and heap      │
���                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010025    │          │              │                         │               │ glibc: information disclosure of heap addresses of           │
│                    │                     │          │              │                         │               │ pthread_created thread                                       │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-9192       │          │              │                         │               │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                         │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-9192                    │                                     
├────────────────────┼─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libc6              │ CVE-2025-4802       │ HIGH     │              │                         │               │ glibc: static setuid binary dlopen may incorrectly search    │
│                    │                     │          │              │                         │               │ LD_LIBRARY_PATH                                              │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-4802                    │                                 
│                    ├─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-8058       │ MEDIUM   │              │                         │               │ glibc: Double free in glibc                                  │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-8058                    │
│                    ├─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤         
│                    │ CVE-2010-4756       │ LOW      │              │                         │               │ glibc: glob implementation can cause excessive CPU and       │
│                    │                     │          │              │                         │               │ memory consumption due to...                                 │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2010-4756                    │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤                                          
│                    │ CVE-2018-20796      │          │              │                         │               │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                         │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2018-20796                   │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010022    │          │              │                         │               │ glibc: stack guard protection bypass                         │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010022                 │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010023    │          │              │                         │               │ glibc: running ldd on malicious ELF leads to code execution  │                       
│                    │                     │          │              │                         │               │ because of...                                                │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010023                 │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010024    │          │              │                         │               │ glibc: ASLR bypass using cache of thread stack and heap      │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010024                 │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-1010025    │          │              │                         │               │ glibc: information disclosure of heap addresses of           │
│                    │                     │          │              │                         │               │ pthread_created thread                                       │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-1010025                 │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2019-9192       │          │              │                         │               │ glibc: uncontrolled recursion in function                    │
│                    │                     │          │              │                         │               │ check_dst_limits_calc_pos_1 in posix/regexec.c               │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2019-9192                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcc-s1          │ CVE-2022-27943      │          │              │ 12.2.0-14+deb12u1       │               │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                    │                     │          │              │                         │               │ stack exhaustion in demangle_const                           │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgcrypt20        │ CVE-2018-6829       │          │              │ 1.10.1-3                │               │ libgcrypt: ElGamal implementation doesn't have semantic      │
│                    │                     │          │              │                         │               │ security due to incorrectly encoded plaintexts...            │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2018-6829                    │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-2236       │          │              │                         │               │ libgcrypt: vulnerable to Marvin Attack                       │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2024-2236                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libgnutls30        │ CVE-2011-3389       │          │              │ 3.7.9-2+deb12u5         │               │ HTTPS: block-wise chosen-plaintext attack against SSL/TLS    │
│                    │                     │          │              │                         │               │ (BEAST)                                                      │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2011-3389                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libmount1          │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u3        │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                         │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules     │ CVE-2025-6020       │ HIGH     │              │ 1.5.2-6+deb12u1         │               │ linux-pam: Linux-pam directory Traversal                     │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-6020                    │
│                    ├─────────────────────┼──────────┼──────────────┤                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-10041      │ MEDIUM   │ will_not_fix │                         │               │ pam: libpam: Libpam vulnerable to read hashed password       │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2024-10041                   │
│                    ├─────────────────────┤          ├──────────────┤                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-22365      │          │ affected     │                         │               │ pam: allowing unprivileged user to block another user        │
│                    │                     │          │              │                         │               │ namespace                                                    │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2024-22365                   │
├────────────────────┼─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-modules-bin │ CVE-2025-6020       │ HIGH     │              │                         │               │ linux-pam: Linux-pam directory Traversal                     │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-6020                    │
│                    ├─────────────────────┼──────────┼──────────────┤                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-10041      │ MEDIUM   │ will_not_fix │                         │               │ pam: libpam: Libpam vulnerable to read hashed password       │                                    
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2024-10041                   │
│                    ├─────────────────────┤          ├──────────────┤                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-22365      │          │ affected     │                         │               │ pam: allowing unprivileged user to block another user        │
│                    │                     │          │              │                         │               │ namespace                                                    │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2024-22365                   │
├────────────────────┼─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam-runtime     │ CVE-2025-6020       │ HIGH     │              │                         │               │ linux-pam: Linux-pam directory Traversal                     │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-6020                    │
│                    ├─────────────────────┼──────────┼──────────────┤                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-10041      │ MEDIUM   │ will_not_fix │                         │               │ pam: libpam: Libpam vulnerable to read hashed password       │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2024-10041                   │
│                    ├─────────────────────┤          ├──────────────┤                         ├───────────────┼──────────────────────────────────────────────────────────────┤    
│                    │ CVE-2024-22365      │          │ affected     │                         │               │ pam: allowing unprivileged user to block another user        │
│                    │                     │          │              │                         │               │ namespace                                                    │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2024-22365                   │
├────────────────────┼─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│ libpam0g           │ CVE-2025-6020       │ HIGH     │              │                         │               │ linux-pam: Linux-pam directory Traversal                     │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-6020                    │
│                    ├─────────────────────┼──────────┼──────────────┤                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-10041      │ MEDIUM   │ will_not_fix │                         │               │ pam: libpam: Libpam vulnerable to read hashed password       │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2024-10041                   │
│                    ├─────────────────────┤          ├──────────────┤                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-22365      │          │ affected     │                         │               │ pam: allowing unprivileged user to block another user        │
│                    │                     │          │              │                         │               │ namespace                                                    │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2024-22365                   │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsmartcols1      │ CVE-2022-0563       │ LOW      │              │ 2.38.1-5+deb12u3        │               │ util-linux: partial disclosure of arbitrary files in chfn    │                 
│                    │                     │          │              │                         │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libstdc++6         │ CVE-2022-27943      │          │              │ 12.2.0-14+deb12u1       │               │ binutils: libiberty/rust-demangle.c in GNU GCC 11.2 allows   │
│                    │                     │          │              │                         │               │ stack exhaustion in demangle_const                           │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-27943                   │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libsystemd0        │ CVE-2013-4392       │          │              │ 252.38-1~deb12u1        │               │ systemd: TOCTOU race condition when updating file            │
│                    │                     │          │              │                         │               │ permissions and SELinux security contexts...                 │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2013-4392                    │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31437      │          │              │                         │               │ An issue was discovered in systemd 253. An attacker can      │     
│                    │                     │          │              │                         │               │ modify a...                                                  │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31437                   │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31438      │          │              │                         │               │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                         │               │ truncate a...                                                │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31438                   │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31439      │          │              │                         │               │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                         │               │ modify the...                                                │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31439                   │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libtinfo6          │ CVE-2023-50495      │ MEDIUM   │              │ 6.4-4                   │               │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
│                    ├─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-6141       │ LOW      │              │                         │               │ gnu-ncurses: ncurses Stack Buffer Overflow                   │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-6141                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libudev1           │ CVE-2013-4392       │          │              │ 252.38-1~deb12u1        │               │ systemd: TOCTOU race condition when updating file            │
│                    │                     │          │              │                         │               │ permissions and SELinux security contexts...                 │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2013-4392                    │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31437      │          │              │                         │               │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                         │               │ modify a...                                                  │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31437                   │
���                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31438      │          │              │                         │               │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                         │               │ truncate a...                                                │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31438                   │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31439      │          │              │                         │               │ An issue was discovered in systemd 253. An attacker can      │
│                    │                     │          │              │                         │               │ modify the...                                                │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31439                   │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libuuid1           │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u3        │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                         │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ libxml2            │ CVE-2025-49794      │ CRITICAL │              │ 2.9.14+dfsg-1.3~deb12u4 │               │ libxml: Heap use after free (UAF) leads to Denial of service │
│                    │                     │          │              │                         │               │ (DoS)...                                                     │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-49794                   │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-49796      │          │              │                         │               │ libxml: Type confusion leads to Denial of service (DoS)      │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-49796                   │
│                    ├─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-6021       │ HIGH     │              │                         │               │ libxml2: Integer Overflow in xmlBuildQName() Leads to Stack  │
│                    │                     │          │              │                         │               │ Buffer Overflow in libxml2...                                │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-6021                    │
│                    ├─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-6170       │ LOW      │              │                         │               │ libxml2: Stack Buffer Overflow in xmllint Interactive Shell  │
│                    │                     │          │              │                         │               │ Command Handling                                             │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-6170                    │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-8732       │          │              │                         │               │ libxml2: libxml2: Uncontrolled Recursion Vulnerability       │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-8732                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ login              │ CVE-2007-5686       │          │              │ 1:4.13+dfsg1-1+deb12u1  │               │ initscripts in rPath Linux 1 sets insecure permissions for   │                                         
│                    │                     │          │              │                         │               │ the /var/lo ......                                           │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2007-5686                    │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-56433      │          │              │                         │               │ shadow-utils: Default subordinate ID configuration in        │
│                    │                     │          │              │                         │               │ /etc/login.defs could lead to compromise                     │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2024-56433                   │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ TEMP-0628843-DBAD28 │          │              │                         │               │ [more related to CVE-2005-4890]                              │
│                    │                     │          │              │                         │               │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │
│                    │                     │          │              │                         │               │ AD28                                                         │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ mount              │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u3        │               │ util-linux: partial disclosure of arbitrary files in chfn    │
���                    │                     │          │              │                         │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-base       │ CVE-2023-50495      │ MEDIUM   │              │ 6.4-4                   │               │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
│                    ├─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-6141       │ LOW      │              │                         │               │ gnu-ncurses: ncurses Stack Buffer Overflow                   │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-6141                    │
├────────────────────┼─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│ ncurses-bin        │ CVE-2023-50495      │ MEDIUM   │              │                         │               │ ncurses: segmentation fault via _nc_wrap_entry()             │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-50495                   │
│                    ├─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤                                 
│                    │ CVE-2025-6141       │ LOW      │              │                         │               │ gnu-ncurses: ncurses Stack Buffer Overflow                   │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-6141                    │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ passwd             │ CVE-2007-5686       │          │              │ 1:4.13+dfsg1-1+deb12u1  │               │ initscripts in rPath Linux 1 sets insecure permissions for   │
│                    │                     │          │              │                         │               │ the /var/lo ......                                           │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2007-5686                    │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2024-56433      │          │              │                         │               │ shadow-utils: Default subordinate ID configuration in        │
│                    │                     │          │              │                         │               │ /etc/login.defs could lead to compromise                     │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2024-56433                   │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ TEMP-0628843-DBAD28 │          │              │                         │               │ [more related to CVE-2005-4890]                              │
│                    │                     │          │              │                         │               │ https://security-tracker.debian.org/tracker/TEMP-0628843-DB- │
│                    │                     │          │              │                         │               │ AD28                                                         │
├────────────────────┼─────────────────────┼──────────┤              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ perl-base          │ CVE-2023-31484      │ HIGH     │              │ 5.36.0-7+deb12u2        │               │ perl: CPAN.pm does not verify TLS certificates when          │
│                    │                     │          │              │                         │               │ downloading distributions over HTTPS...                      │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31484                   │
│                    ├─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2025-40909      │ MEDIUM   │              │                         │               │ perl: Perl threads have a working directory race condition   │
│                    │                     │          │              │                         │               │ where file operations...                                     │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2025-40909                   │
│                    ├─────────────────────┼──────────┤              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2011-4116       │ LOW      │              │                         │               │ perl: File:: Temp insecure temporary file handling           │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2011-4116                    │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ CVE-2023-31486      │          │              │                         │               │ http-tiny: insecure TLS cert default                         │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-31486                   │                                 
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ sysvinit-utils     │ TEMP-0517018-A83CE6 │          │              │ 3.06-4                  │               │ [sysvinit: no-root option in expert installer exposes        │
│                    │                     │          │              │                         │               │ locally exploitable security flaw]                           │
│                    │                     │          │              │                         │               │ https://security-tracker.debian.org/tracker/TEMP-0517018-A8- │   
│                    │                     │          │              │                         │               │ 3CE6                                                         │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ tar                │ CVE-2005-2541       │          │              │ 1.34+dfsg-1.2+deb12u1   │               │ tar: does not properly warn the user when extracting setuid  │
│                    │                     │          │              │                         │               │ or setgid...                                                 │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2005-2541                    │
│                    ├─────────────────────┤          │              │                         ├───────────────┼──────────────────────────────────────────────────────────────┤
│                    │ TEMP-0290435-0B57B5 │          │              │                         │               │ [tar's rmt command may have undesired side effects]          │
│                    │                     │          │              │                         │               │ https://security-tracker.debian.org/tracker/TEMP-0290435-0B- │                       
│                    │                     │          │              │                         │               │ 57B5                                                         │
├────────────────────┼─────────────────────┤          │              ├─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ util-linux         │ CVE-2022-0563       │          │              │ 2.38.1-5+deb12u3        │               │ util-linux: partial disclosure of arbitrary files in chfn    │
│                    │                     │          │              │                         │               │ and chsh when compiled...                                    │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2022-0563                    │
├────────────────────┤                     │          │              │                         ├───────────────┤                                                              │
│ util-linux-extra   │                     │          │              │                         │               │                                                              │
│                    │                     │          │              │                         │               │                                                              │
│                    │                     │          │              │                         │               │                                                              │
├────────────────────┼─────────────────────┼──────────┼──────────────┼─────────────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ zlib1g             │ CVE-2023-45853      │ CRITICAL │ will_not_fix │ 1:1.2.13.dfsg-1         │               │ zlib: integer overflow and resultant heap-based buffer       │
│                    │                     │          │              │                         │               │ overflow in zipOpenNewFileInZip4_6                           │
│                    │                     │          │              │                         │               │ https://avd.aquasec.com/nvd/cve-2023-45853                   │
└────────────────────┴─────────────────────┴──────────┴──────────────┴─────────────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘
2025-09-03T08:54:22Z    DEBUG   Cleaning up temp directory      path="/tmp/trivy-1"

Version

Version: 0.66.0

Checklist

Read the documentation regarding wrong detection
Ran Trivy with -f json that shows data sources and confirmed that the security advisory in data sources was correct

DmitriyLewen · 2025-09-05T11:33:54Z

DmitriyLewen
Sep 5, 2025
Maintainer

Hello @someone-stole-my-name
Thanks for your report!

I created aquasecurity/vuln-list-update#372
After merging this PR and updating trivy-db, Trivy will correctly detect vulnerabilities for this package.

Regards, Dmitriy

2 replies

someone-stole-my-name Sep 8, 2025
Author

Thank you, it works as expected.

DmitriyLewen Sep 18, 2025
Maintainer

Hello @someone-stole-my-name
New trivy-db contains correct fixed version for CVE-2025-49794

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

Debian Bookworm CVE-2025-49794 detected in libxml2 2.9.14+dfsg-1.3~deb12u4 despite Debian's tracker reporting this version as fixed #9426

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{editor}}'s edit

{{editor}}'s edit

Uh oh!

Replies: 1 comment 2 replies

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{title}}

Uh oh!

Uh oh!

{{title}}

Uh oh!

Select a reply

Uh oh!

Debian Bookworm CVE-2025-49794 detected in libxml2 2.9.14+dfsg-1.3~deb12u4 despite Debian's tracker reporting this version as fixed #9426

Uh oh!

Uh oh!

someone-stole-my-name Sep 3, 2025

IDs

Description

Reproduction Steps

Target

Scanner

Target OS

Debug Output

Version

Checklist

Replies: 1 comment · 2 replies

Uh oh!

DmitriyLewen Sep 5, 2025 Maintainer

Uh oh!

someone-stole-my-name Sep 8, 2025 Author

Uh oh!

DmitriyLewen Sep 18, 2025 Maintainer

someone-stole-my-name
Sep 3, 2025

Replies: 1 comment 2 replies

DmitriyLewen
Sep 5, 2025
Maintainer

someone-stole-my-name Sep 8, 2025
Author

DmitriyLewen Sep 18, 2025
Maintainer