Open GreensterRox opened 6 years ago
Performing the new "npm audit" command in the repo, the report is:
[!] 7 vulnerabilities found - Packages audited: 2049 (61 dev, 119 optional)
Severity: 4 Low | 2 High | 1 Critical
The critical one is:
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical │ Command Injection │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ growl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ mocha │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ mocha > growl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/146 │
└───────────────┴──────────────────────────────────────────────────────────────┘
Same here (obviously). 1 critical and 3 high vulnerabilities coming from swagger. Can this be fixed, or is this package replaced by any other nowadays?
The same trouble:
found 21 vulnerabilities (13 low, 7 moderate, 1 high) in 1121 scanned packages
High Regular Expression Denial of Service
Package string
Dependency of swagger-express-mw
Path swagger-express-mw > swagger-node-runner > swagger-tools >
string
More info https://nodesecurity.io/advisories/536
runs npm audit fix
:
+ swagger-express-mw@0.7.0
added 12 packages from 14 contributors, removed 50 packages, updated 3 packages and moved 3 packages in 9.545s
fixed 14 of 21 vulnerabilities in 1121 scanned packages
but it crashes my app wit error:
Error: Cannot find module 'swagger-tools/middleware/swagger-ui'
it looks like this package is fckn outdated :(
Also multer is vulnerable but they didn't provide fix yet
@ziogibom how is Multer vulnerable? would love to get a fix out 👍
Bumping for visibility. Any updates on this? Still facing issues with lodash as Prototype Pollution
Any updates?
Just did a fresh install installed mongoose and got this:
=== npm audit security report ===
SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ supertest [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ supertest > superagent > mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/535 │ └───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Large gzip Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ superagent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ supertest [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ supertest > superagent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/479 │ └───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > rttc > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > rttc > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > switchback > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > rttc > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > rttc > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > switchback > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > rttc > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > rttc > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > switchback > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ deep-extend │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.5.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > sway > │ │ │ json-schema-faker > deref > deep-extend │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/612 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 30 vulnerabilities (11 low, 1 moderate, 18 high) in 449 scanned packages 2 vulnerabilities require semver-major dependency updates. 28 vulnerabilities require manual review. See the full report for details.
This seems to be getting worse... Can you guys update your lodash dependencies?
When I use nsp: https://www.npmjs.com/package/nsp . it gives me the following vulnerabilities:
swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > sway@1.0.0 > json-schema-faker@0.2.16 > deref@0.6.4 > deep-extend@0.4.2 https://nodesecurity.io/advisories/612
swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > lodash@3.10.1 https://nodesecurity.io/advisories/577
swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > bagpipes@0.1.2 > lodash@3.10.1 https://nodesecurity.io/advisories/577
swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > bagpipes@0.1.2 > machinepack-http@2.4.0 > lodash@3.10.1 │ https://nodesecurity.io/advisories/577
swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > bagpipes@0.1.2 > machinepack-http@2.4.0 > machine@10.4.0 > lodash@3.10.1
https://nodesecurity.io/advisories/577
swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > bagpipes@0.1.2 > machinepack-http@2.4.0 > machine@10.4.0 > switchback@2.0.2 > lodash@3.10.1 https://nodesecurity.io/advisories/577
swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > bagpipes@0.1.2 > machinepack-http@2.4.0 > machinepack-urls@4.1.0 > machine@9.1.2 > switchback@1.1.3 > lodash@2.4.2 https://nodesecurity.io/advisories/577