Closed mpizzagalli closed 6 years ago
I run nsp check to found possible security issues introduced by dependencies and the results are the following.
Matiass-MacBook-Pro:express-admin mpizzagalli$ ./node_modules/.bin/nsp check (+) 29 vulnerabilities found ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ mime │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 7.5 (High) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 1.2.11 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ < 1.4.1 || > 2.0.0 < 2.0.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 1.4.1 < 2.0.0 || >= 2.0.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express@4.4.4 > send@0.4.3 > mime@1.2.11 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/535 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ negotiator │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 7.5 (High) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.4.7 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <= 0.6.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 0.6.1 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express@4.4.4 > accepts@1.0.7 > negotiator@0.4.7 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/106 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ fresh │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 7.5 (High) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.2.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ < 0.5.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 0.5.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > serve-static@1.2.3 > send@0.4.3 > fresh@0.2.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/526 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Denial-of-Service Memory Exhaustion │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ qs │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 7.5 (High) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.6.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <1.0.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 1.x │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express@4.4.4 > qs@0.6.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/29 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Denial-of-Service Memory Exhaustion │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ qs │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 7.5 (High) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.6.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <1.0.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 1.x │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > body-parser@1.4.3 > qs@0.6.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/29 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Denial-of-Service Memory Exhaustion │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ qs │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 7.5 (High) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.6.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <1.0.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 1.x │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > connect-multiparty@1.1.0 > qs@0.6.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/29 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ method-override │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 7.5 (High) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 2.0.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <= 1.0.2 || > 2.0.0 < 2.3.10 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ > 1.0.2 < 2.0.0 || >= 2.3.10 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > method-override@2.0.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/538 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ fresh │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 7.5 (High) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.2.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ < 0.5.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 0.5.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express@4.4.4 > fresh@0.2.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/526 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ mime │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 7.5 (High) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 1.2.11 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ < 1.4.1 || > 2.0.0 < 2.0.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 1.4.1 < 2.0.0 || >= 2.0.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > serve-static@1.2.3 > send@0.4.3 > mime@1.2.11 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/535 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Denial-of-Service Extended Event Loop Blocking │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ qs │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 6.5 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.6.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <1.0.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 1.x │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > body-parser@1.4.3 > qs@0.6.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/28 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Denial-of-Service Extended Event Loop Blocking │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ qs │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 6.5 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.6.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <1.0.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 1.x │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express@4.4.4 > qs@0.6.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/28 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Denial-of-Service Extended Event Loop Blocking │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ qs │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 6.5 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.6.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <1.0.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 1.x │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > connect-multiparty@1.1.0 > qs@0.6.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/28 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Timing attack vulnerability │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ cookie-signature │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 5.4 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 1.0.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <=1.0.5 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >=1.0.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > cookie-parser@1.3.1 > cookie-signature@1.0.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/134 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Timing attack vulnerability │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ cookie-signature │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 5.4 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 1.0.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <=1.0.5 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >=1.0.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express@4.4.4 > cookie-signature@1.0.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/134 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Timing attack vulnerability │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ cookie-signature │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 5.4 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 1.0.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <=1.0.5 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >=1.0.6 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express-session@1.5.1 > cookie-signature@1.0.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/134 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ No Charset in Content-Type Header │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ express │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 5.4 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 4.4.4 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <3.11 || >= 4 <4.5 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >=3.11 <4 || >=4.5 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express@4.4.4 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/8 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ ms │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 5.3 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.6.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <=0.7.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >0.7.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express@4.4.4 > debug@1.0.2 > ms@0.6.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/46 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ ms │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 5.3 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.6.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <=0.7.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >0.7.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express-session@1.5.1 > debug@1.0.2 > ms@0.6.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/46 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ ms │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 5.3 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.6.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <=0.7.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >0.7.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > serve-static@1.2.3 > send@0.4.3 > debug@1.0.2 > ms@0.6.22 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/46 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Root Path Disclosure │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ send │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 5.3 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.4.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <0.11.1 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >=0.11.1 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express@4.4.4 > send@0.4.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/56 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Root Path Disclosure │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ send │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 5.3 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.4.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <0.11.1 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >=0.11.1 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > serve-static@1.2.3 > send@0.4.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/56 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ moment │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 5.3 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 2.8.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <2.11.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >=2.11.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > moment@2.8.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/55 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Open Redirect │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ serve-static │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 5.3 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 1.2.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <1.6.5 || >=1.7.0 <1.7.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ ~1.6.5 || >=1.7.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express@4.4.4 > serve-static@1.2.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/35 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Open Redirect │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ serve-static │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 5.3 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 1.2.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <1.6.5 || >=1.7.0 <1.7.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ ~1.6.5 || >=1.7.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > serve-static@1.2.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/35 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Directory Traversal │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ send │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 4.3 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.4.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ < 0.8.4 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 0.8.4 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > serve-static@1.2.3 > send@0.4.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/32 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Directory Traversal │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ send │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 4.3 (Medium) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 0.4.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ < 0.8.4 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 0.8.4 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express@4.4.4 > send@0.4.3 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/32 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ debug │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 3.7 (Low) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 1.0.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <= 2.6.8 || >= 3.0.0 <= 3.0.1 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 2.6.9 < 3.0.0 || >= 3.1.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > serve-static@1.2.3 > send@0.4.3 > debug@1.0.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/534 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ debug │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 3.7 (Low) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 1.0.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <= 2.6.8 || >= 3.0.0 <= 3.0.1 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 2.6.9 < 3.0.0 || >= 3.1.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express@4.4.4 > debug@1.0.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/534 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐ │ │ Regular Expression Denial of Service │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Name │ debug │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ CVSS │ 3.7 (Low) │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Installed │ 1.0.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Vulnerable │ <= 2.6.8 || >= 3.0.0 <= 3.0.1 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Patched │ >= 2.6.9 < 3.0.0 || >= 3.1.0 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ Path │ express-admin@1.3.2 > express-session@1.5.1 > debug@1.0.2 │ ├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤ │ More Info │ https://nodesecurity.io/advisories/534 │ └───────────────┴─────────────────────────────────────────────────────────────────────────────────┘
Fixed in v1.4.0
simov
commented
6 years ago simov
commented
6 years ago
I run nsp check to found possible security issues introduced by dependencies and the results are the following.