search

Automattic / knox

S3 Lib
MIT License
1.74k stars 285 forks source link

This library includes a security vulnerability #290

Open gavacho opened 8 years ago

gavacho commented 8 years ago

I'm using a tool from the Node Security Project called nsp to check for security vulnerabilities.

It looks like this would be fixed by using the latest version of debug .

~/knox  (master) $ nsp check
(+) 1 vulnerabilities found
┌───────────────┬──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│               │ Regular Expression Denial of Service                                                                                         │
├───────────────┼──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Name          │ ms                                                                                                                           │
├───────────────┼──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Installed     │ 0.6.2                                                                                                                        │
├───────────────┼──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ <=0.7.0                                                                                                                      │
├───────────────┼──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Patched       │ >0.7.0                                                                                                                       │
├───────────────┼──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Path          │ debug > ms                                                                                                                   │
├───────────────┼──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/46                                                                                        │
└───────────────┴──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
nijikokun commented 8 years ago

:+1:

jackhsu978 commented 8 years ago

I created a pull request https://github.com/Automattic/knox/pull/300

BrandonCopley commented 7 years ago

👍

arnaudbesnier commented 6 years ago

The vulnerability on the latest version is:

knox@0.9.2 > debug@1.0.5

https://nodesecurity.io/advisories/534