Open duskvirkus opened 5 years ago
more related this package
03:24 $ npm audit
=== npm audit security report ===
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ handlebars │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.0.14 <4.1.0 || >=4.1.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ grunt-typedoc > typedoc > handlebars │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/755 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ handlebars │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.3.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ grunt-typedoc > typedoc > handlebars │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1164 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ handlebars │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.4.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ grunt-typedoc > typedoc > handlebars │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1300 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary Code Execution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ handlebars │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.5.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ grunt-typedoc > typedoc > handlebars │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1316 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary Code Execution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ handlebars │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.5.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ grunt-typedoc > typedoc > handlebars │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1324 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ handlebars │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.5.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ grunt-typedoc > typedoc > handlebars │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1325 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ marked │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.6.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ grunt-typedoc > typedoc > marked │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/812 │
└───────────────┴──────────────────────────────────────────────────────────────┘
NPM is telling me
found 1 high severity vulnerability
and it looks to be coming through a chain of dependencies ongrunt-typedoc
.Here is the result of running
npm audit
:So I did some digging in the package-lock.json of my project. Here is the chain:
I'll probably just switch to using grunt-run for this task but I thought I'd file a issue because it probably could be solved by changing your package.json to a newer version of typedoc.