Replace npm package "decompress"

[tylerforesthauser]

Summary

Replace npm package decompress due to vulnerability documented here.

Motivation

All versions of decompress are vulnerable to Arbitrary File Write. The package fails to prevent extraction of files with relative paths, allowing attackers to write to any folder in the system by including filenames containing../.

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary File Write                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gridsome                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gridsome > imagemin-mozjpeg > mozjpeg > bin-build >          │
│               │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1217                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary File Write                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gridsome                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gridsome > imagemin-pngquant > pngquant-bin > bin-build >    │
│               │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1217                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary File Write                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gridsome                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gridsome > imagemin-webp > cwebp-bin > bin-build >           │
│               │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1217                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary File Write                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gridsome                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gridsome > imagemin-mozjpeg > mozjpeg > bin-build > download │
│               │ > decompress                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1217                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary File Write                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gridsome                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gridsome > imagemin-pngquant > pngquant-bin > bin-build >    │
│               │ download > decompress                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1217                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary File Write                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gridsome                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gridsome > imagemin-webp > cwebp-bin > bin-build > download  │
│               │ > decompress                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1217                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary File Write                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gridsome                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gridsome > imagemin-mozjpeg > mozjpeg > bin-wrapper >        │
│               │ download > decompress                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1217                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary File Write                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gridsome                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gridsome > imagemin-pngquant > pngquant-bin > bin-wrapper >  │
│               │ download > decompress                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1217                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary File Write                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ decompress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gridsome                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gridsome > imagemin-webp > cwebp-bin > bin-wrapper >         │
│               │ download > decompress                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1217                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

[noxify]

Related issue: kevva/decompress#71

[hjvedvik]

I see there is an open PR for decompress which hopefully will be merged soon.

[noxify]

@hjvedvik it seems that the maintainer of the decompress package is not active currently.

Based on the comments and other repos ( like gatsby gatsbyjs/gatsby#22014 (comment) ) it's a "no real issue" for gridsome. ( but please correct me, if I'm wrong )

Maybe we could update the readme and mark this as known issue?

[a-kriya]

Fixed in release v4.2.1: https://github.com/kevva/decompress/releases

But doesn't look like many packages in the dependent chain have been updated in a while.

[ChristianSantos07]

abra o cmd e rode

npm install npm@latest -g

ela pega a ultima versão