search

bda-research / node-crawler

Web Crawler/Spider for NodeJS + server-side jQuery ;-)
MIT License
6.71k stars 875 forks source link

Dependency vulnerabilities #469

Closed globalexport closed 5 months ago

globalexport commented 9 months ago

Hi!

There are some vulnerabilities of cheerio and request (deprecated). 

┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Inefficient Regular Expression Complexity in nth-check │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ nth-check                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <2.0.1                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=2.0.1                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ . > crawler@1.5.0 > cheerio@0.22.0 > css-select@1.2.0  │
│                     │ > nth-check@1.0.2                                      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-rp65-9cf3-cjxr      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Prototype Pollution in lodash                          │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ lodash.pick                                            │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=4.0.0 <=4.4.0                                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ <0.0.0                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ . > crawler@1.5.0 > cheerio@0.22.0 > lodash.pick@4.4.0 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-p6mc-m468-83gw      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Server-Side Request Forgery in Request                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ request                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=2.88.2                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ <0.0.0                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ . > crawler@1.5.0 > request@2.88.2                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-p8p7-x288-28g6      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ tough-cookie Prototype Pollution vulnerability         │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ tough-cookie                                           │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <4.1.3                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.1.3                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ . > crawler@1.5.0 > request@2.88.2 >                   │
│                     │ tough-cookie@2.5.0                                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-72xf-g2v4-qvf3      │
└─────────────────────┴────────────────────────────────────────────────────────┘
4 vulnerabilities found
Severity: 2 moderate | 2 high
mike442144 commented 5 months ago

As we release version 2, pls refer to the latest version instead.