CVEs found in latest RIE release

[sylviayap]

CVEs found in latest RIE release

┌─────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version  │                            Title                             │
├─────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib  │ CVE-2025-47912 │ HIGH     │ fixed  │ v1.24.6           │ 1.24.8, 1.25.2 │ The Parse function permits values other than IPv6 addresses  │
│         │                │          │        │                   │                │ to be incl...                                                │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2025-47912                   │
│         ├────────────────┤          │        │                   │                ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2025-58183 │          │        │                   │                │ tar.Reader does not set a maximum size on the number of      │
│         │                │          │        │                   │                │ sparse...                                                    │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2025-58183                   │
│         ├────────────────┤          │        │                   │                ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2025-58185 │          │        │                   │                │ Parsing a maliciously crafted DER payload could allocate     │
│         │                │          │        │                   │                │ large amounts ...                                            │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2025-58185                   │
│         ├────────────────┤          │        │                   │                ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2025-58186 │          │        │                   │                │ Despite HTTP headers having a default limit of 1MB, the      │
│         │                │          │        │                   │                │ number of...                                                 │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2025-58186                   │
│         ├────────────────┤          │        │                   ├────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2025-58187 │          │        │                   │ 1.24.9, 1.25.3 │ Due to the design of the name constraint checking algorithm, │
│         │                │          │        │                   │                │ the proce...                                                 │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2025-58187                   │
│         ├────────────────┤          │        │                   ├────────────────┼──────────────────────────────────────────────────────────────┤
│         │ CVE-2025-58188 │          │        │                   │ 1.24.8, 1.25.2 │ Validating certificate chains which contain DSA public keys  │
│         │                │          │        │                   │                │ can cause ......                                             │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2025-58188                   │
│         ├────────────────┤          │        │                   │                ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2025-58189 │          │        │                   │                │ When Conn.Handshake fails during ALPN negotiation the error  │
│         │                │          │        │                   │                │ contains a ...                                               │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2025-58189                   │
│         ├────────────────┤          │        │                   │                ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2025-61723 │          │        │                   │                │ The processing time for parsing some invalid inputs scales   │
│         │                │          │        │                   │                │ non-linearl ...                                              │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2025-61723                   │
│         ├────────────────┤          │        │                   │                ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2025-61724 │          │        │                   │                │ The Reader.ReadResponse function constructs a response       │
│         │                │          │        │                   │                │ string through ...                                           │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2025-61724                   │
│         ├────────────────┤          │        │                   │                ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2025-61725 │          │        │                   │                │ The ParseAddress function constructeds domain-literal        │
│         │                │          │        │                   │                │ address componen ...                                         │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2025-61725                   │
└─────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────┴──────────────────────────────────────────────────────────────┘```

[matthewdeanmartin]

I got here while trying to get a docker image ready to deploy to AWS ( the public.ecr.aws/lambda/python:3.13 image )

If the readme is to be believed, this is a test artifact and isn't needed if you are running the image in AWS. I'm not trying to make json requests to docker running locally on my laptop.

rm /usr/local/bin/aws-lambda-rie

Anyhow, posting this here to help other as much as to find out if anyone will contradict me. If AWS calls this binary at some point when it is running inside of AWS then I will have to undo this. Seems easier than figuring out how to recompile with a more recent go stdlib

[kobiche]

So... is this going to be solved any time soon? Even if it's just for testing purposes, this is part of the released images and I don't think it should remain unsolved.

[danmoz]

Additional CVEs have now appeared.

usr/local/bin/aws-lambda-rie (gobinary)
=======================================
Total: 3 (UNKNOWN: 3, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0)
┌─────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version  │                            Title                             │
├─────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ stdlib  │ CVE-2026-25679 │ UNKNOWN  │ fixed  │ v1.25.7           │ 1.25.8, 1.26.1 │ url.Parse insufficiently validated the host/authority        │
│         │                │          │        │                   │                │ component and ac ...                                         │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2026-25679                   │
│         ├────────────────┤          │        │                   │                ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2026-27139 │          │        │                   │                │ On Unix platforms, when listing the contents of a directory  │
│         │                │          │        │                   │                │ using File...                                                │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2026-27139                   │
│         ├────────────────┤          │        │                   │                ├──────────────────────────────────────────────────────────────┤
│         │ CVE-2026-27142 │          │        │                   │                │ Actions which insert URLs into the content attribute of HTML │
│         │                │          │        │                   │                │ meta tags...                                                 │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2026-27142                   │
└─────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────┴──────────────────────────────────────────────────────────────┘

[Yinozzz]

New CVES have appeared

usr/local/bin/aws-lambda-rie (gobinary)
=======================================
Total: 7 (UNKNOWN: 7, LOW: 0, MEDIUM: 0, HIGH: 0, CRITICAL: 0)
┌─────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────┬─────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version  │                            Title                            │
├─────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────┼─────────────────────────────────────────────────────────────┤
│ stdlib  │ CVE-2026-32280 │ UNKNOWN  │ fixed  │ v1.26.1           │ 1.25.9, 1.26.2 │ During chain building, the amount of work that is done is   │
│         │                │          │        │                   │                │ not...                                                      │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2026-32280                  │
│         ├────────────────┤          │        │                   │                ├─────────────────────────────────────────────────────────────┤
│         │ CVE-2026-32281 │          │        │                   │                │ Validating certificate chains which use policies is         │
│         │                │          │        │                   │                │ unexpectedly ineff ...                                      │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2026-32281                  │
│         ├────────────────┤          │        │                   │                ├─────────────────────────────────────────────────────────────┤
│         │ CVE-2026-32282 │          │        │                   │                │ TOCTOU permits root escape on Linux via Root.Chmod in os in │
│         │                │          │        │                   │                │ internal/syscall/unix...                                    │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2026-32282                  │
│         ├────────────────┤          │        │                   │                ├─────────────────────────────────────────────────────────────┤
│         │ CVE-2026-32283 │          │        │                   │                │ Unauthenticated TLS 1.3 KeyUpdate record can cause          │
│         │                │          │        │                   │                │ persistent connection retention and DoS...                  │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2026-32283                  │
│         ├────────────────┤          │        │                   │                ├─────────────────────────────────────────────────────────────┤
│         │ CVE-2026-32288 │          │        │                   │                │ Unbounded allocation for old GNU sparse in archive/tar      │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2026-32288                  │
│         ├────────────────┤          │        │                   │                ├─────────────────────────────────────────────────────────────┤
│         │ CVE-2026-32289 │          │        │                   │                │ JsBraceDepth Context Tracking Bugs (XSS) in html/template   │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2026-32289                  │
│         ├────────────────┤          │        │                   ├────────────────┼─────────────────────────────────────────────────────────────┤
│         │ CVE-2026-33810 │          │        │                   │ 1.26.2         │ Case-sensitive excludedSubtrees name constraints cause Auth │
│         │                │          │        │                   │                │ Bypass in crypto/x509                                       │
│         │                │          │        │                   │                │ https://avd.aquasec.com/nvd/cve-2026-33810                  │
└─────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────┴─────────────────────────────────────────────────────────────┘