Describe the Bug
trivy image ghcr.io/umami-software/umami:3.1.0 --severity HIGH,CRITICAL --report=summary
Database
PostgreSQL
Relevant log output
┌──────────────────────────────────────────────────────────────────────────────────┬──────────┬─────────────────┬─────────┐
│ Target │ Type │ Vulnerabilities │ Secrets │
├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ ghcr.io/umami-software/umami:3.1.0 (alpine 3.23.4) │ alpine │ 1 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ app/node_modules/.pnpm/@hono+node-server@1.19.9_hono@4.11.4/node_modules/@hono/- │ node-pkg │ 1 │ - │
│ node-server/package.json │ │ │ │
├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ app/node_modules/.pnpm/lodash@4.17.21/node_modules/lodash/package.json │ node-pkg │ 1 │ - │
├──────────────────────────────────────────────────────────────────────────────────┼──────────┼─────────────────┼─────────┤
│ app/node_modules/.pnpm/next@16.2.4_@babel+core@7.28.3_babel-plugin-react-compil- │ node-pkg │ 7 │ - │
│ er@19.1.0-rc.2_react-dom@19.2.5_react@19.2.5__react@19.2.5/node_modules/next/pa- │ │ │ │
│ ckage.json │ │ │ │
└──────────────────────────────────────────────────────────────────────────────────┴──────────┴─────────────────┴─────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)
ghcr.io/umami-software/umami:3.1.0 (alpine 3.23.4)
Total: 1 (HIGH: 1, CRITICAL: 0)
┌──────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────┤
│ nghttp2-libs │ CVE-2026-27135 │ HIGH │ fixed │ 1.68.0-r0 │ 1.68.1 │ nghttp2: nghttp2: Denial of Service via malformed HTTP/2 │
│ │ │ │ │ │ │ frames after session termination... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-27135 │
└──────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────┘
Node.js (node-pkg)
Total: 13 (HIGH: 13, CRITICAL: 0)
┌──────────────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬─────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├──────────────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ @hono/node-server (package.json) │ CVE-2026-29087 │ HIGH │ fixed │ 1.19.9 │ 1.19.10 │ @hono/node-server has authorization bypass for protected │
│ │ │ │ │ │ │ static paths via encoded slashes in... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-29087 │
├──────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ effect (package.json) │ CVE-2026-32887 │ │ │ 3.18.4 │ 3.20.0 │ Effect `AsyncLocalStorage` context lost/contaminated inside │
│ │ │ │ │ │ │ Effect fibers under concurrent load with RPC... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-32887 │
├──────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ hono (package.json) │ CVE-2026-29045 │ │ │ 4.11.4 │ 4.12.4 │ Hono vulnerable to arbitrary file access via serveStatic │
│ │ │ │ │ │ │ vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-29045 │
├──────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ lodash (package.json) │ CVE-2026-4800 │ │ │ 4.17.21 │ 4.18.0 │ lodash: lodash: Arbitrary code execution via untrusted input │
│ │ │ │ │ │ │ in template imports │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4800 │
├──────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ next (package.json) │ CVE-2026-44573 │ │ │ 16.2.4 │ 15.5.16, 16.2.5 │ Next.js has a Middleware / Proxy bypass in Pages Router │
│ │ │ │ │ │ │ applications using... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-44573 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-44574 │ │ │ │ │ Next.js has a Middleware / Proxy bypass through dynamic │
│ │ │ │ │ │ │ route parameter injection... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-44574 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-44575 │ │ │ │ │ Next.js has a Middleware / Proxy bypass in App Router │
│ │ │ │ │ │ │ applications via... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-44575 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-44578 │ │ │ │ │ Next.js vulnerable to server-side request forgery in │
│ │ │ │ │ │ │ applications using WebSocket upgrades │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-44578 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-44579 │ │ │ │ │ Next.js vulnerable to Denial of Service via connection │
│ │ │ │ │ │ │ exhaustion in applications using... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-44579 │
│ ├─────────────────────┤ │ │ ├─────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-45109 │ │ │ │ 15.5.18, 16.2.6 │ Next.js has a Middleware / Proxy bypass in App Router │
│ │ │ │ │ │ │ applications via... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-45109 │
│ ├─────────────────────┤ │ │ ├─────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-8h8q-6873-q5fj │ │ │ │ 15.5.16, 16.2.5 │ Next.js Vulnerable to Denial of Service with Server │
│ │ │ │ │ │ │ Components │
│ │ │ │ │ │ │ https://github.com/advisories/GHSA-8h8q-6873-q5fj │
├──────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼─────────────────────┼──────────────────────────────────────────────────────────────┤
│ picomatch (package.json) │ CVE-2026-33671 │ │ │ 4.0.3 │ 4.0.4, 3.0.2, 2.3.2 │ picomatch: Picomatch: Regular Expression Denial of Service │
│ │ │ │ │ │ │ via crafted extglob patterns │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-33671 │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
│ │ │ │ │ │ │ │
└──────────────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴─────────────────────┴──────────────────────────────────────────────────────────────┘
Which Umami version are you using?
3.1.0
How are you deploying your application?
No response
Which browser are you using?
No response
Describe the Bug
Database
PostgreSQL
Relevant log output
Which Umami version are you using?
3.1.0
How are you deploying your application?
No response
Which browser are you using?
No response