npm audit found vulnerabilities (services)

bcgov / MOH-PPPP-Enrolment

Apache License 2.0

1 stars 0 forks source link

=== npm audit security report === # Run npm install winston-daily-rotate-file@4.7.1 to resolve 2 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Critical │ Prototype Pollution in minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ winston-daily-rotate-file │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ winston-daily-rotate-file > mkdirp > minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-xvch-5gv4-984h │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Prototype Pollution in minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ winston-daily-rotate-file │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ winston-daily-rotate-file > mkdirp > minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-vh95-rmgr-6w4m │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm update semver --depth 2 to resolve 1 vulnerability ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ semver vulnerable to Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ semver │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ jsonwebtoken │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ jsonwebtoken > semver │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Server-Side Request Forgery in Request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ No patch available │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-p8p7-x288-28g6 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ qs vulnerable to Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=6.5.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ request > qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-hrpp-h998-j3pp │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ tough-cookie Prototype Pollution vulnerability │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tough-cookie │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.1.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ request > tough-cookie │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-72xf-g2v4-qvf3 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 6 vulnerabilities (4 moderate, 1 high, 1 critical) in 144 scanned packages run `npm audit fix` to fix 1 of them. 2 vulnerabilities require semver-major dependency updates. 3 vulnerabilities require manual review. See the full report for details.

=== npm audit security report === # Run npm install winston-daily-rotate-file@4.7.1 to resolve 1 vulnerability SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ semver vulnerable to Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ semver │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ winston-daily-rotate-file │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ winston-daily-rotate-file > semver │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm update semver --depth 2 to resolve 1 vulnerability ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ semver vulnerable to Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ semver │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ jsonwebtoken │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ jsonwebtoken > semver │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Prototype Pollution in Ajv │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ ajv │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=6.12.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ request > har-validator > ajv │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-v88g-cgmw-v5xw │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Server-Side Request Forgery in Request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ No patch available │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-p8p7-x288-28g6 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ qs vulnerable to Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=6.5.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ request > qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-hrpp-h998-j3pp │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ tough-cookie Prototype Pollution vulnerability │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tough-cookie │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.1.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ request > tough-cookie │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-72xf-g2v4-qvf3 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 6 vulnerabilities (5 moderate, 1 high) in 192 scanned packages run `npm audit fix` to fix 1 of them. 1 vulnerability requires semver-major dependency updates. 4 vulnerabilities require manual review. See the full report for details.

=== npm audit security report === # Run npm install axios@1.6.2 to resolve 5 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Axios vulnerable to Server-Side Request Forgery │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ axios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ axios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ axios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-4w2v-q235-vp99 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │ │ │ in follow-redirects │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ follow-redirects │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ axios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ axios > follow-redirects │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-pw2r-vq6v-hr8c │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Axios Cross-Site Request Forgery Vulnerability │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ axios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ axios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ axios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ axios Inefficient Regular Expression Complexity │ │ │ vulnerability │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ axios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ axios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ axios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-cph5-m8f7-6c5x │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Exposure of sensitive information in follow-redirects │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ follow-redirects │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ axios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ axios > follow-redirects │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-74fj-2j2h-c42q │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install easy-soap-request@5.5.0 to resolve 1 vulnerability SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Axios Cross-Site Request Forgery Vulnerability │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ axios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ easy-soap-request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ easy-soap-request > axios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm update semver --depth 2 to resolve 1 vulnerability ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ semver vulnerable to Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ semver │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ jsonwebtoken │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ jsonwebtoken > semver │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 7 vulnerabilities (5 moderate, 2 high) in 104 scanned packages run `npm audit fix` to fix 1 of them. 6 vulnerabilities require semver-major dependency updates.

=== npm audit security report ===                        

# Run  npm install http-proxy-middleware@2.0.6  to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service in braces               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ braces                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ http-proxy-middleware > micromatch > braces                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://github.com/advisories/GHSA-g95f-p29q-9xw4            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service (ReDoS) in braces       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ braces                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ http-proxy-middleware > micromatch > braces                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://github.com/advisories/GHSA-cwfw-4gq5-mrqx            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ glob-parent vulnerable to Regular Expression Denial of       │
│               │ Service in enclosure regex                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ glob-parent                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ http-proxy-middleware > micromatch > parse-glob > glob-base  │
│               │ > glob-parent                                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://github.com/advisories/GHSA-ww39-953v-wcq6            │
└───────────────┴──────────────────────────────────────────────────────────────┘

# Run  npm install jsonwebtoken@9.0.2  to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ jsonwebtoken unrestricted key type could lead to legacy keys │
│               │ usage                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ jsonwebtoken                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ jsonwebtoken                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://github.com/advisories/GHSA-8cf7-32gw-wr33            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ jsonwebtoken's insecure implementation of key retrieval      │
│               │ function could lead to Forgeable Public/Private Tokens from  │
│               │ RSA to HMAC                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ jsonwebtoken                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ jsonwebtoken                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://github.com/advisories/GHSA-hjrf-2m68-5959            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ jsonwebtoken vulnerable to signature validation bypass due   │
│               │ to insecure default algorithm in jwt.verify()                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ jsonwebtoken                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ jsonwebtoken                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://github.com/advisories/GHSA-qwph-4952-7xr6            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution in hoek                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.2.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ jsonwebtoken > joi > hoek                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://github.com/advisories/GHSA-jp4x-w63m-7wgm            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution in hoek                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ hoek                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.2.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ jsonwebtoken > joi > topo > hoek                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://github.com/advisories/GHSA-jp4x-w63m-7wgm            │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 8 vulnerabilities (2 low, 3 moderate, 3 high) in 136 scanned packages
  6 vulnerabilities require semver-major dependency updates.
  2 vulnerabilities require manual review. See the full report for details.

bcgov / MOH-PPPP-Enrolment

npm audit found vulnerabilities (services) #162