github-actions[bot]
commented
9 months ago Open github-actions[bot] opened 9 months ago
github-actions[bot]
commented
9 months ago github-actions[bot]
commented
9 months ago === npm audit security report ===
# Run npm install jsonwebtoken@9.0.2 to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken unrestricted key type could lead to legacy keys │
│ │ usage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8cf7-32gw-wr33 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken's insecure implementation of key retrieval │
│ │ function could lead to Forgeable Public/Private Tokens from │
│ │ RSA to HMAC │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hjrf-2m68-5959 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken vulnerable to signature validation bypass due │
│ │ to insecure default algorithm in jwt.verify() │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qwph-4952-7xr6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 3 moderate severity vulnerabilities in 102 scanned packages
3 vulnerabilities require semver-major dependency updates.
=== npm audit security report ===
# Run npm install winston-daily-rotate-file@4.7.1 to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution in Ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.12.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > har-validator > ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-v88g-cgmw-v5xw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Server-Side Request Forgery in Request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-p8p7-x288-28g6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ qs vulnerable to Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.5.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hrpp-h998-j3pp │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ tough-cookie Prototype Pollution vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.1.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-72xf-g2v4-qvf3 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 6 vulnerabilities (5 moderate, 1 high) in 193 scanned packages
run `npm audit fix` to fix 1 of them.
1 vulnerability requires semver-major dependency updates.
4 vulnerabilities require manual review. See the full report for details.