Yarn audit -> security issues

[se09deluca]

❌ Audit report

Versions

• Laravel: 10.x
• Matice: 1.1.4

Description

According to npmjs.com advisories there're several critical issue within the dependencies, some with available patch Running the command yarn audit i got the following result:

yarn audit v1.22.19
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Authorization Bypass in parse-path                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ parse-path                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=5.0.0                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ matice                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ matice > release-it > git-url-parse > git-up > parse-url >   │
│               │ parse-path                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1088916                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ Got allows a redirect to a UNIX socket                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ got                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=11.8.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ matice                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ matice > release-it > got                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1088948                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ Got allows a redirect to a UNIX socket                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ got                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=11.8.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ matice                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ matice > release-it > update-notifier > latest-version >     │
│               │ package-json > got                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1088948                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ parse-url parses http URLs incorrectly, making it vulnerable │
│               │ to host name spoofing                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ parse-url                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=8.1.0                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ matice                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ matice > release-it > git-url-parse > git-up > parse-url     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1089114                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ critical      │ Server-Side Request Forgery (SSRF) in GitHub repository      │
│               │ ionicabizau/parse-url                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ parse-url                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=8.1.0                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ matice                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ matice > release-it > git-url-parse > git-up > parse-url     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092304                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=7.5.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ matice                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ matice > release-it > semver                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092461                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ critical      │ vm2 Sandbox Escape vulnerability                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ vm2                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ matice                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ matice > release-it > proxy-agent > pac-proxy-agent >        │
│               │ pac-resolver > degenerator > vm2                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092502                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ critical      │ vm2 Sandbox Escape vulnerability                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ vm2                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ matice                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ matice > release-it > proxy-agent > pac-proxy-agent >        │
│               │ pac-resolver > degenerator > vm2                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092538                     │
└───────────────┴──────────────────────────────────────────────────────────────┘

[se09deluca]

I'm closing this issue because of i just read about a PR already merged, but still waiting to be released on npm. I hope it gets released sometime.

41

38