search

kappnav / issues

kAppNav global issues
0 stars 0 forks source link

NPM reporting vulnerabilities in node modules #71

Closed kinueng closed 4 years ago

kinueng commented 5 years ago 
                       === npm audit security report ===                        

# Run  npm install http-proxy-middleware@0.20.0  to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ braces                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ http-proxy-middleware > micromatch > braces                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/786                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ braces                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ dustjs-linkedin                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ dustjs-linkedin > chokidar > anymatch > micromatch > braces  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/786                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ braces                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ filemanager-webpack-plugin [dev]                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ filemanager-webpack-plugin > cpx > chokidar > anymatch >     │
│               │ micromatch > braces                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/786                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 3 low severity vulnerabilities in 13206 scanned packages
  run `npm audit fix` to fix 1 of them.
  2 vulnerabilities require manual review. See the full report for details.
kinueng commented 5 years ago

Updated the description with the latest npm audit results.

k8vance88 commented 4 years ago

The braces dependency is coming from our use of dustjs-linkedin@2.7.5. That is the latest version of the module. If we need to remove the vulnerability, then we will have to move away from using dust or find a new module to handle our dust templates.

k8vance88 commented 4 years ago

On my system it's pulling http-proxy-middleware 0.17.4 which is using a braces version >2.3.1.