search

mde / ejs

Embedded JavaScript templates -- http://ejs.co
Apache License 2.0
7.7k stars 841 forks source link

update `jake` to remove `async` vulnerability #668

Closed userquin closed 2 years ago

userquin commented 2 years ago

"jake": "^10.6.1" is using async 0.9.x

┌─────────────────────┬───────────────────────────────────────────────────┐
│ high                │ Prototype Pollution in async                      │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Package             │ async                                             │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Vulnerable versions │ <2.6.4                                            │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Patched versions    │ >=2.6.4                                           │
├─────────────────────┼───────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-fwr7-v2mv-hh25 │
└─────────────────────┴───────────────────────────────────────────────────┘
rouvenha commented 2 years ago

Fix in #669 Please merge and push a new version @mde