search

piemadd / amtrak

NPM library to get Amtrak tracking data.
GNU Affero General Public License v3.0
49 stars 4 forks source link

Security issue on dependency #4

Closed eiiot closed 2 years ago

eiiot commented 2 years ago

From your example: https://replit.com/@piemadd/Amtrakjs-Example



┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Regular Expression Denial of Service in minimatch            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.0.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ amtrak                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ amtrak > isdst > tap > glob > minimatch                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://github.com/advisories/GHSA-hxm2-r34f-qmc5            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical      │ Incorrect Handling of Non-Boolean Comparisons During         │
│               │ Minification in uglify-js                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ uglify-js                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.4.24                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ amtrak                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ amtrak > isdst > tap > runforcover > bunker > burrito >      │
│               │ uglify-js                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://github.com/advisories/GHSA-34r7-q49f-h37c            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Regular Expression Denial of Service in uglify-js            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ uglify-js                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.6.0                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ amtrak                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ amtrak > isdst > tap > runforcover > bunker > burrito >      │
│               │ uglify-js                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://github.com/advisories/GHSA-c9f4-xj24-8jqx            │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 3 vulnerabilities (2 high, 1 critical) in 37 scanned packages
  3 vulnerabilities require manual review. See the full report for details.
piemadd commented 2 years ago

Fixed! Realized I'm not even using the isdst package so just removing it and rebuilding (to ensure nothing broke) seems to have fixed it!

eiiot commented 2 years ago

Thanks!