22 Security Vulnerabilities on Fresh Checkout #45
Comments
|
Hi Dan,
I think many of the warnings are irrelevant, because they cannot be used
to elevate permissions in a command line tool.
Others are used only in development-mode, which is not critical.
Anyway, it would be nice if someone would help to resolve these issues,
but the solution is spread among multiple packages, so it is quite a bit
of work.
Am 2019-01-17 22:20, schrieb Dan D:
… It looks like this package has fallen a bit out of date and the
security alerts have piled up. Many of the dependencies need to be
updated to more recent versions to resolve these alerts.
From a fresh checkout:
* git clone https://github.com/bootprint/bootprint.git
* cd bootprint
* npm audit
=== npm audit security report ===
# Run npm install ***@***.*** to resolve 4
vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-handlebars
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-handlebars > lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Cross-Site Scripting
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ handlebars
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-handlebars
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-handlebars > handlebars
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/61
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Incorrect Handling of Non-Boolean Comparisons
During │
│ │ Minification
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ uglify-js
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-handlebars
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-handlebars > handlebars >
uglify-js │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/39
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ uglify-js
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-handlebars
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-handlebars > handlebars >
uglify-js │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/48
│
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install ***@***.*** to resolve 4 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ debug
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ live-server
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ live-server > connect > debug
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/534
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ debug
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ live-server
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ live-server > connect > finalhandler > debug
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/534
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Cryptographically Weak PRNG
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ randomatic
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ live-server
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ live-server > chokidar > anymatch > micromatch >
braces > │
│ │ expand-range > fill-range > randomatic
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/157
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Code Injection
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ morgan
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ live-server
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ live-server > morgan
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/736
│
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install --save-dev ***@***.*** to resolve 2
vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ debug
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ mocha [dev]
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ mocha > debug
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/534
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical │ Command Injection
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ growl
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ mocha [dev]
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ mocha > growl
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/146
│
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install ***@***.*** to resolve 3
vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Regular Expression Denial of Service
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ sshpk
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > less > request >
http-signature > │
│ │ sshpk
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/606
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Out-of-bounds Read
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ stringstream
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > less > request >
stringstream │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/664
│
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update fill-range --depth 7 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Cryptographically Weak PRNG
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ randomatic
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-watch
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-watch > chokidar > anymatch >
micromatch > braces │
│ │ > expand-range > fill-range > randomatic
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/157
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review
│
│ Some vulnerabilities require your attention to resolve
│
│
│
│ Visit https://go.npm.me/audit-guide for additional
guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-uglify
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-uglify > lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-watch
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-watch > customize > lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-watch
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-watch > lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ get-promise
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ get-promise > lodash
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/577
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > less > request > hawk >
boom > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > less > request > hawk >
cryptiles > │
│ │ boom > hoek
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > less > request > hawk >
hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566
│
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype pollution
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ customize-engine-less
│
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ customize-engine-less > less > request > hawk >
sntp > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566
│
└───────────────┴──────────────────────────────────────────────────────────────┘
found 22 vulnerabilities (13 low, 6 moderate, 2 high, 1 critical) in
764 scanned packages
run `npm audit fix` to fix 5 of them.
9 vulnerabilities require semver-major dependency updates.
8 vulnerabilities require manual review. See the full report for
details.
--
You are receiving this because you are subscribed to this thread.
Reply to this email directly, view it on GitHub [1], or mute the
thread [2].
Links:
------
[1] #45
[2]
https://github.com/notifications/unsubscribe-auth/AAm09jximcbt8-Yz4xS3OaADZPq6yGRTks5vEOkRgaJpZM4aGwud
|
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
It looks like this package has fallen a bit out of date and the security alerts have piled up. Many of the dependencies need to be updated to more recent versions to resolve these alerts.
From a fresh checkout:
The text was updated successfully, but these errors were encountered: