search

promises-aplus / promises-tests

Compliances tests for Promises/A+
Other
943 stars 107 forks source link

NPM complains about security issues #94

Open poelstra opened 5 years ago

poelstra commented 5 years ago

npm audit complains about security issues due to an outdated dependency of promises-aplus-tests, which means packages using it are also warned about.

The fix is rather trivial: just update mocha.

There already is a pull-request https://github.com/promises-aplus/promises-tests/pull/91.

@domenic Would be great if you could merge that and publish an update to npm.


                       === npm audit security report ===                        

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical      │ Command Injection                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ growl                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=1.10.2                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ promises-aplus-tests [dev]                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ promises-aplus-tests > mocha > growl                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/146                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.0.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ promises-aplus-tests [dev]                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ promises-aplus-tests > mocha > glob > minimatch              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/118                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >= 2.6.9 < 3.0.0 || >= 3.1.0                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ promises-aplus-tests [dev]                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ promises-aplus-tests > mocha > debug                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 3 vulnerabilities (1 low, 1 high, 1 critical) in 1509 scanned packages
  3 vulnerabilities require manual review. See the full report for details.
Xotic750 commented 5 years ago

I also get it for diff which is mocha too.