search

henrikingo / impressionist

A Visual 3D editor for creating stunning impress.js presentations
MIT License
197 stars 37 forks source link

NPM reports critical vulnerabilities in the dependent packages #32

Open cems2 opened 3 years ago

cems2 commented 3 years ago

npm audit

                   === npm audit security report ===

Run npm install --save-dev electron@11.1.1 to resolve 3 vulnerabilities

SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Chromium Remote Code Execution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ electron │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ electron [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ electron │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/539 │ └───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Critical │ Remote Code Execution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ electron │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ electron [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ electron │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/563 │ └───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Code Execution by Re-enabling Node.js integration │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ electron │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ electron [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ electron │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/574 │ └───────────────┴──────────────────────────────────────────────────────────────┘

┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Incorrect Handling of Non-Boolean Comparisons During │ │ │ Minification │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 2.4.24 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ buildify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ buildify > uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/39 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ buildify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ buildify > uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/48 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ clean-css │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.1.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ buildify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ buildify > clean-css │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/785 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 6 vulnerabilities (3 low, 2 high, 1 critical) in 157 scanned packages 3 vulnerabilities require semver-major dependency updates. 3 vulnerabilities require manual review. See the full report for details