Closed neilmispelaar closed 1 week ago
Thanks @neilmispelaar ! To be clear, this is all in devDeps and not affecting any consumers, right?
Nevermind, thought this email was for a different repo, these are definitely deps. Thanks for the issue :)
Just created a PR with the minimum bumps needed to address the critical vulnerabilities: #12
Would you have a set of recommended tests I can run to see if any of the updated packages broke anything? Happy to help where I can / where it's helpful.
Or if there is anything else you need please feel free to reach out.
Thanks!
fixed by #12
Hi there,
This issue is to raise awareness on a couple of vulnerabilities being identified by
yarn audit
in a few outdated dependencies, with the hopes to work together on addressing them.I've included information below on the dependencies at issue, the versions where they get patched, and if there are any additional notes on the dependencies or vulnerabilities. I'll also setup a PR as well.
^0.2.28
0.22.09
0.22.12
0.22.09
^9.0.1
13.0.0
14.0.0
^4.0.0
5.0.1
8.0.0
^2.3.2
^2.3.2
>=1.2.6
```bash yarn audit v1.22.22 ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Prototype Pollution in minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.2.4 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ jimp │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ jimp > mkdirp > minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1097677 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Server-Side Request Forgery in parse-url │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ parse-url │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=6.0.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ git-url-parse │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ git-url-parse > git-up > parse-url │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1088918 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Server-Side Request Forgery (SSRF) in GitHub repository │ │ │ ionicabizau/parse-url │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ parse-url │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=8.1.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ git-url-parse │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ git-url-parse > git-up > parse-url │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1092304 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Prototype Pollution in minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.2.4 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ git-url-parse │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ git-url-parse > parse-domain > mocha > mkdirp > minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1097677 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ json-schema is vulnerable to Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ json-schema │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.4.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ jimp │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ jimp > request > http-signature > jsprim > json-schema │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1095057 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Remote code execution in handlebars when compiling templates │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ handlebars │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.7.7 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ conventional-changelog-writer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ conventional-changelog-writer > handlebars │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1095063 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Prototype Pollution in handlebars │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ handlebars │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.7.7 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ conventional-changelog-writer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ conventional-changelog-writer > handlebars │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1095465 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Prototype Pollution in minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.2.4 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ conventional-changelog-writer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ conventional-changelog-writer > handlebars > optimist > │ │ │ minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1097677 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Prototype Pollution in minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.2.6 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ pkgfiles │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ pkgfiles > minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1097678 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Prototype Pollution in minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.2.6 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ conventional-changelog-writer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ conventional-changelog-writer > meow > minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1097678 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Prototype Pollution in minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.2.4 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @patrickhulce/lint │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @patrickhulce/lint > eslint > mkdirp > minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1097677 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Prototype Pollution in minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.2.4 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @patrickhulce/lint │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @patrickhulce/lint > eslint > file-entry-cache > flat-cache │ │ │ > write > mkdirp > minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1097677 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Insufficient Entropy in cryptiles │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ cryptiles │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.1.2 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ jimp │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ jimp > request > hawk > cryptiles │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1095034 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Prototype Pollution in minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.2.4 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ pkgfiles │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ pkgfiles > fstream-npm > fstream-ignore > fstream > mkdirp > │ │ │ minimist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1097677 │ └───────────────┴──────────────────────────────────────────────────────────────┘ 91 vulnerabilities found - Packages audited: 451 Severity: 1 Low | 39 Moderate | 37 High | 14 Critical Done in 1.14s. ```yarn audit
output