High and Mediuma CVEs present in latest image (2.2.0)

[suprabhatkr]

Describe the bug

There are some CVEs present in go.sum file of redis-datasource, which are as follows :-
var/lib/grafana/plugins/redis-datasource/redis-datasource_windows_amd64.exe (gobinary)

Total: 7 (UNKNOWN: 0, LOW: 0, MEDIUM: 3, HIGH: 4, CRITICAL: 0)

┌──────────────────────────────────────────────────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title
│
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ go.opentelemetry.io/contrib/instrumentation/google.golang.o- │ CVE-2023-47108 │ HIGH │ fixed │ v0.40.0 │ 0.46.0 │ opentelemetry-go-contrib: DoS vulnerability in otelgrpc due │
│ rg/grpc/otelgrpc │ │ │ │ │ │ to unbound cardinality metrics
│
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-47108
│
├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ go.opentelemetry.io/contrib/instrumentation/net/http/httptr- │ CVE-2023-45142 │ │ │ v0.37.0 │ 0.44.0 │ opentelemetry: DoS vulnerability in otelhttp
│
│ ace/otelhttptrace │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-45142
│
├──────────────────────────────────────────────────────────────┼─────────────────────┤ │ ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net │ CVE-2023-39325 │ │ │ v0.9.0 │ 0.17.0 │ golang: net/http, x/net/http2: rapid stream resets can cause │
│ │ │ │ │ │ │ excessive work (CVE-2023-44487)
│
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-39325
│
│ ├─────────────────────┼──────────┤ │ ├────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-3978 │ MEDIUM │ │ │ 0.13.0 │ golang.org/x/net/html: Cross site scripting
│
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-3978
│
│ ├─────────────────────┤ │ │ ├────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-44487 │ │ │ │ 0.17.0 │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable │
│ │ │ │ │ │ │ to a DDoS attack...
│
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-44487
│
├──────────────────────────────────────────────────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────┼──────────────────────────────────────────────────────────────┤
│ google.golang.org/grpc │ GHSA-m425-mq94-257g │ HIGH │ │ v1.54.0 │ 1.56.3, 1.57.1, 1.58.3 │ gRPC-Go HTTP/2 Rapid Reset vulnerability
│
│ │ │ │ │ │ │ GHSA-m425-mq94-257g │
│ ├─────────────────────┼──────────┤ │ ├────────────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2023-44487 │ MEDIUM │ │ │ 1.58.3, 1.57.1, 1.56.3 │ HTTP/2: Multiple HTTP/2 enabled web servers are vulnerable │
│ │ │ │ │ │ │ to a DDoS attack...
│
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2023-44487
│
└──────────────────────────────────────────────────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴────────────────────────┴──────────────────────────────────────────────────────────────┘

Version

v2.2.0

Steps to reproduce

1. Use the plugin with grafana.
2. Build the grafana image.
3. Install "trivy" in the local system
4. Run "trivy image " using the build image.

Expected behavior

No CVEs should appear

Additional context

Please update the required versions in go.mod so that go.sum packages got updated.