Open alexanderturinske opened 5 years ago
Issue Running an npm install; npm audit with npm v6.4.0 yields several security vulnerabilities found in dependencies of this module
npm install; npm audit
v6.4.0
=== npm audit security report === # Run npm install --save-dev http-server@0.11.1 to resolve 5 vulnerabilities ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ ecstatic │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ http-server [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ http-server > ecstatic │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/64 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ ecstatic │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ http-server [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ http-server > ecstatic │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/553 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ http-server [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ http-server > ecstatic > mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/535 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Denial-of-Service Memory Exhaustion │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ http-server [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ http-server > union > qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/29 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Denial-of-Service Extended Event Loop Blocking │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ http-server [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ http-server > union > qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/28 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install --save-dev jquery@3.3.1 to resolve 1 vulnerability SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Cross-Site Scripting (XSS) │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ jquery │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ jquery [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ jquery │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/328 │ └───────────────┴──────────────────────────────────────────────────────────────┘
Solution
npm install --save-dev http-server@0.11.1 jquery@3.3.1
Issue Running an
npm install; npm audit
with npmv6.4.0
yields several security vulnerabilities found in dependencies of this moduleSolution
npm install --save-dev http-server@0.11.1 jquery@3.3.1