AppThreat / vulnerability-db

Vulnerability database and package search for sources such as Linux, OSV, NVD, GitHub and npm. Powered by sqlite, CVE 5.0, purl, and vers.
MIT License
96 stars 22 forks source link

npm use cvss attribute if present to extract the score #93

Closed prabhu closed 9 months ago

prabhu commented 9 months ago

With this fix, we get the correct cvss score returned for certain packages instead of the default 5.0.

python depscan/cli.py --purl "pkg:npm/axios@1.5.1" --reports-dir /tmp/reports
Dependency Scan Results (NPM)
╔══════════════════════════════════════════════════════════════╤═════════════════════╤═══════════════════════════╤════════════════════╤══════════════╗
║ CVE                                                          │ Insights            │ Fix Version               │ Severity           │        Score ║
╟──────────────────────────────────────────────────────────────┼─────────────────────┼───────────────────────────┼────────────────────┼──────────────╢
║ axios@1.5.1 ⬅ CVE-2023-45857                                 │                     │ 1.6.0                     │ MEDIUM             │          6.5 ║
╚══════════════════════════════════════════════════════════════╧═════════════════════╧═══════════════════════════╧════════════════════╧══════════════╝
python depscan/cli.py --purl "pkg:npm/follow-redirects@1.15.2" --reports-dir /tmp/reports
Dependency Scan Results (NPM)
╔══════════════════════════════════════════════════════════════════════════╤══════════════════╤═══════════════════════╤══════════════════╤═══════════╗
║ CVE                                                                      │ Insights         │ Fix Version           │ Severity         │     Score ║
╟──────────────────────────────────────────────────────────────────────────┼──────────────────┼───────────────────────┼──────────────────┼───────────╢
║ follow-redirects@1.15.2 ⬅ CVE-2023-26159                                 │                  │ 1.15.4                │ MEDIUM           │       6.1 ║
╚══════════════════════════════════════════════════════════════════════════╧══════════════════╧═══════════════════════╧══════════════════╧═══════════╝