search

kangarang / tcr-ui

A client-side shell to interact with token-curated registries
MIT License
68 stars 28 forks source link

npm install: found 4 vulnerabilities #97

Closed strictlymomo closed 6 years ago

strictlymomo commented 6 years ago

if it's within your control, may want to update your libs. i used npm audit fix to resolve these vulnerabilities.

found 4 vulnerabilities (1 low, 1 moderate, 2 critical)
  run `npm audit fix` to fix them, or `npm audit` for details
Momosukes-MacBook-Pro:tcr-ui momo$ npm audit

                       === npm audit security report ===

# Run  npm install ethjs-contract@0.2.3  to resolve 3 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ethjs-contract                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ethjs-contract > ethjs-filter > ganache-core > mocha > debug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Memory Exposure                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ bl                                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ethjs-contract                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ethjs-contract > ethjs-filter > ganache-core >               │
│               │ level-sublevel > levelup > bl                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/596                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical      │ Command Injection                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ growl                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ethjs-contract                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ethjs-contract > ethjs-filter > ganache-core > mocha > growl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/146                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

# Run  npm update postcss-filter-plugins --depth 4  to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical      │ Command Injection                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ macaddress                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ react-scripts                                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ react-scripts > css-loader > cssnano >                       │
│               │ postcss-filter-plugins > uniqid > macaddress                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/654                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

found 4 vulnerabilities (1 low, 1 moderate, 2 critical) in 135827 scanned packages
  run `npm audit fix` to fix 4 of them.
kangarang commented 6 years ago

thanks momo! addressed: c93f001ed22333fbdb6d60a6a7f135afe44fd0a2