search

DanmarksAdresser / dawa-autocomplete2

https://dawadocs.dataforsyningen.dk
MIT License
17 stars 7 forks source link

Ny version 1.0.3 introducerer sårbarheder #40

Closed MartinLindalHansen closed 2 years ago

MartinLindalHansen commented 2 years ago

`

npm audit report

Severity: moderate Memory Exposure in bl - https://github.com/advisories/GHSA-wrw9-m778-g6mc Remote Memory Exposure in bl - https://github.com/advisories/GHSA-pp7h-53gx-mx7r fix available via npm audit fix node_modules/bl levelup 0.9.0 - 1.0.0-5 Depends on vulnerable versions of bl Depends on vulnerable versions of semver node_modules/levelup

semver <4.3.2 Severity: high Regular Expression Denial of Service in semver - https://github.com/advisories/GHSA-x6fg-f45m-jf5q
fix available via npm audit fix node_modules/levelup/node_modules/semver`

#

Dependencies er nogle "gamle drenge" efterhånden. Jeg kan ikke se hvorfor "levelup" kommer ind i billedet/hvor det benyttes. "npm audit fix" løser ikke problemet. Ruller tilbage til dawa-autocomplete2@1.0.2 som ikke introducerer ovenstående.

MartinLindalHansen commented 2 years ago

Ser ud til der var noget galt med min npm lokalt, som forårsagede ovenstående - forkerte - audit rapport. Har geninstalleret nodejs samt npm, og nu kan jeg opdatere dawa-autocomplete2 til seneste version, uden ovenstående rapport.

Lukker tråden.