search

Kong / unirest-nodejs

Unirest in Node.js: Simplified, lightweight HTTP client library.
http://unirest.io/nodejs
MIT License
953 stars 167 forks source link

npm audit failure #121

Closed PetroPavlenko closed 5 years ago

PetroPavlenko commented 6 years ago

Hello, we are getting failures in our packages, using the latest version of unirest.

┌────────────┬────────────────────────────────────────────────────────────────────┐
│            │ Memory Exposure                                                    │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name       │ tunnel-agent                                                       │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS       │ 5 (Medium)                                                         │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed  │ 0.4.3                                                              │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <0.6.0                                                             │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched    │ >=0.6.0                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path       │  unirest@0.5.1 > request@2.74.0 >                                  │
│            │ tunnel-agent@0.4.3                                                 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info  │ https://nodesecurity.io/advisories/598                             │
└────────────┴────────────────────────────────────────────────────────────────────┘

┌────────────┬────────────────────────────────────────────────────────────────────┐
│            │ Prototype pollution attack                                         │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name       │ hoek                                                               │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS       │ 4 (Medium)                                                         │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed  │ 2.16.3                                                             │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <= 4.2.0 || >= 5.0.0 < 5.0.3                                       │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched    │ > 4.2.0 < 5.0.0 || >= 5.0.3                                        │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path       │ unirest@0.5.1 > request@2.74.0 > hawk@3.1.3                        │
│            │ > hoek@2.16.3                                                      │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info  │ https://nodesecurity.io/advisories/566                             │
└────────────┴────────────────────────────────────────────────────────────────────┘

They all are related to request, pls update request dependency

hismaeel commented 6 years ago

Bump

EagleHawk commented 5 years ago

guys please update it. It's really important.

Edo78 commented 5 years ago

A workaround is to fork this repo, bump the dependencies and npm install the url of your github repo. You can also PR so it's more likely this repo could be updated.