CVE-2024-53990 in dependencies of the official container image

[fmulero]

Hi

I have recently analysed the latest release of the 7.8.0 CP-Schema-Registry docker image that is published in your DockerHub image registry with Trivy (a vulnerability and security scanner). The scanner reports a critical vulnerability in several libraries:

$ trivy image  -q --vuln-type library confluentinc/cp-schema-registry:7.8.0 -s CRITICAL

Java (jar)

Total: 6 (CRITICAL: 6)

┌───────────────────────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────────┐
│                        Library                        │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                           Title                            │
├───────────────────────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤
│ org.asynchttpclient:async-http-client (acl-7.8.0.jar) │ CVE-2024-53990 │ CRITICAL │ fixed  │ 2.12.3            │ 2.12.4, 3.0.1 │ The AsyncHttpClient (AHC) library allows Java applications │
│                                                       │                │          │        │                   │               │ to easily e ...                                            │
│                                                       │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2024-53990                 │
├───────────────────────────────────────────────────────┤                │          │        │                   │               │                                                            │
│ org.asynchttpclient:async-http-client                 │                │          │        │                   │               │                                                            │
│ (telemetry-client-3.1518.0.jar)                       │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
├───────────────────────────────────────────────────────┤                │          │        │                   │               │                                                            │
│ org.asynchttpclient:async-http-client                 │                │          │        │                   │               │                                                            │
│ (confluent-metrics-7.8.0-ce.jar)                      │                │          │        │                   │               │                                                            │
│                                                       │                │          │        │                   │               │                                                            │
└───────────────────────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────────┘

Do you have any information/statement about these CVEs related to your product? Is your software actually affected by them?

[fmulero]

New critical CVE has been detected: CVE-2024-52046