-
Notifications
You must be signed in to change notification settings - Fork 13
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
22 Security Vulnerabilities on Fresh Checkout #45
Comments
Hi Dan,
I think many of the warnings are irrelevant, because they cannot be used
to elevate permissions in a command line tool.
Others are used only in development-mode, which is not critical.
Anyway, it would be nice if someone would help to resolve these issues,
but the solution is spread among multiple packages, so it is quite a bit
of work.
Am 2019-01-17 22:20, schrieb Dan D:
… It looks like this package has fallen a bit out of date and the
security alerts have piled up. Many of the dependencies need to be
updated to more recent versions to resolve these alerts.
From a fresh checkout:
* git clone https://github.com/bootprint/bootprint.git
* cd bootprint
* npm audit
=== npm audit security report ===
# Run npm install ***@***.*** to resolve 4
vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-handlebars
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-handlebars > lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Cross-Site Scripting
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ handlebars
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-handlebars
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-handlebars > handlebars
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/61
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Incorrect Handling of Non-Boolean Comparisons
During │
│ │ Minification
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ uglify-js
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-handlebars
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-handlebars > handlebars >
uglify-js │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/39
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ uglify-js
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-handlebars
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-handlebars > handlebars >
uglify-js │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/48
│
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install ***@***.*** to resolve 4 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ debug
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ live-server
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ live-server > connect > debug
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/534
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ debug
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ live-server
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ live-server > connect > finalhandler > debug
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/534
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Cryptographically Weak PRNG
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ randomatic
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ live-server
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ live-server > chokidar > anymatch > micromatch >
braces > │
│ │ expand-range > fill-range > randomatic
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/157
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Code Injection
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ morgan
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ live-server
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ live-server > morgan
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/736
│
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install --save-dev ***@***.*** to resolve 2
vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ debug
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ mocha [dev]
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ mocha > debug
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/534
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical │ Command Injection
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ growl
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ mocha [dev]
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ mocha > growl
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/146
│
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install ***@***.*** to resolve 3
vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Regular Expression Denial of Service
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ sshpk
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > less > request >
http-signature > │
│ │ sshpk
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/606
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Out-of-bounds Read
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ stringstream
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > less > request >
stringstream │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/664
│
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update fill-range --depth 7 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Cryptographically Weak PRNG
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ randomatic
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-watch
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-watch > chokidar > anymatch >
micromatch > braces │
│ │ > expand-range > fill-range > randomatic
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/157
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review
│
│ Some vulnerabilities require your attention to resolve
│
│
│
│ Visit https://go.npm.me/audit-guide for additional
guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-uglify
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-uglify > lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-watch
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-watch > customize > lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-watch
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-watch > lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ get-promise
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ get-promise > lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > less > request > hawk >
boom > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > less > request > hawk >
cryptiles > │
│ │ boom > hoek
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > less > request > hawk >
hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > less > request > hawk >
sntp > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566
│
└───────────────┴──────────────────────────────────────────────────────────────┘
found 22 vulnerabilities (13 low, 6 moderate, 2 high, 1 critical) in
764 scanned packages
run `npm audit fix` to fix 5 of them.
9 vulnerabilities require semver-major dependency updates.
8 vulnerabilities require manual review. See the full report for
details.
--
You are receiving this because you are subscribed to this thread.
Reply to this email directly, view it on GitHub [1], or mute the
thread [2].
Links:
------
[1] #45
[2]
https://github.com/notifications/unsubscribe-auth/AAm09jximcbt8-Yz4xS3OaADZPq6yGRTks5vEOkRgaJpZM4aGwud
|
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
It looks like this package has fallen a bit out of date and the security alerts have piled up. Many of the dependencies need to be updated to more recent versions to resolve these alerts.
From a fresh checkout:
The text was updated successfully, but these errors were encountered: