howdyai / botkit

Botkit is an open source developer tool for building chat bots, apps and custom integrations for major messaging platforms.
MIT License
11.49k stars 2.29k forks source link

High severity vulnerabilities in botkit legacy 0.7.5 #2087

Open aniket-bruviti opened 3 years ago

aniket-bruviti commented 3 years ago

DO NOT ERASE THESE INSTRUCTIONS WITHOUT READING THEM FIRST

Legacy Botkit dependanies has severe vulnerabilities (Can these be upgraded)

Are you sure this is an issue with the Botkit core module?

Yes

What are you trying to achieve or the steps to reproduce?

Just do npm install in the project that uses botkit 0.7.5 legacy

What was the result you received?

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution in node-forge                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ botkit                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ botkit > ciscospark > @webex/plugin-memberships >            │
│               │ @webex/internal-plugin-conversation >                        │
│               │ @webex/internal-plugin-encryption > node-jose > node-forge   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1561                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution in node-forge                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ botkit                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ botkit > ciscospark > @webex/plugin-messages >               │
│               │ @webex/internal-plugin-conversation >                        │
│               │ @webex/internal-plugin-encryption > node-jose > node-forge   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1561                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution in node-forge                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ botkit                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ botkit > ciscospark > @webex/plugin-rooms >                  │
│               │ @webex/internal-plugin-conversation >                        │
│               │ @webex/internal-plugin-encryption > node-jose > node-forge   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1561                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution in node-forge                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ botkit                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ botkit > ciscospark > @webex/plugin-memberships >            │
│               │ @webex/internal-plugin-conversation >                        │
│               │ @webex/internal-plugin-encryption > node-kms > node-jose >   │
│               │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1561                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution in node-forge                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ botkit                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ botkit > ciscospark > @webex/plugin-messages >               │
│               │ @webex/internal-plugin-conversation >                        │
│               │ @webex/internal-plugin-encryption > node-kms > node-jose >   │
│               │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1561                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution in node-forge                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ botkit                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ botkit > ciscospark > @webex/plugin-rooms >                  │
│               │ @webex/internal-plugin-conversation >                        │
│               │ @webex/internal-plugin-encryption > node-kms > node-jose >   │
│               │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1561                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution in node-forge                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ botkit                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ botkit > ciscospark > @webex/plugin-memberships >            │
│               │ @webex/internal-plugin-conversation >                        │
│               │ @webex/internal-plugin-encryption > node-scr > node-jose >   │
│               │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1561                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution in node-forge                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ botkit                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ botkit > ciscospark > @webex/plugin-messages >               │
│               │ @webex/internal-plugin-conversation >                        │
│               │ @webex/internal-plugin-encryption > node-scr > node-jose >   │
│               │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1561                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution in node-forge                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ botkit                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ botkit > ciscospark > @webex/plugin-rooms >                  │
│               │ @webex/internal-plugin-conversation >                        │
│               │ @webex/internal-plugin-encryption > node-scr > node-jose >   │
│               │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1561                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution in node-forge                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ botkit                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ botkit > googleapis > google-auth-library > gtoken >         │
│               │ google-p12-pem > node-forge                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1561                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution in node-forge                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ botkit                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ botkit > googleapis > googleapis-common >                    │
│               │ google-auth-library > gtoken > google-p12-pem > node-forge   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1561                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

found 11 high severity vulnerabilities in 1112 scanned packages

What did you expect?

0 vulnerabilities

stale[bot] commented 3 years ago

This issue has been automatically marked as stale because it has not had recent activity. It will be closed if no further activity occurs. Thank you for your contributions.

aniket-bruviti commented 3 years ago

Any updates on this?

stale[bot] commented 2 years ago

This issue has been automatically marked as stale because it has not had recent activity. It will be closed if no further activity occurs. Thank you for your contributions.