search

swagger-api / swagger-node

Swagger module for node.js
http://swagger.io
Apache License 2.0
3.97k stars 585 forks source link

Vulnerabilities with lodash and deep-extend #561

Open GreensterRox opened 6 years ago

GreensterRox commented 6 years ago

When I use nsp: https://www.npmjs.com/package/nsp . it gives me the following vulnerabilities:

swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > sway@1.0.0 > json-schema-faker@0.2.16 > deref@0.6.4 > deep-extend@0.4.2 https://nodesecurity.io/advisories/612

swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > lodash@3.10.1 https://nodesecurity.io/advisories/577

swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > bagpipes@0.1.2 > lodash@3.10.1 https://nodesecurity.io/advisories/577

swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > bagpipes@0.1.2 > machinepack-http@2.4.0 > lodash@3.10.1 │ https://nodesecurity.io/advisories/577

swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > bagpipes@0.1.2 > machinepack-http@2.4.0 > machine@10.4.0 > lodash@3.10.1
https://nodesecurity.io/advisories/577

swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > bagpipes@0.1.2 > machinepack-http@2.4.0 > machine@10.4.0 > switchback@2.0.2 > lodash@3.10.1 https://nodesecurity.io/advisories/577

swagger-connect@0.7.0 > swagger-node-runner@0.7.3 > bagpipes@0.1.2 > machinepack-http@2.4.0 > machinepack-urls@4.1.0 > machine@9.1.2 > switchback@1.1.3 > lodash@2.4.2 https://nodesecurity.io/advisories/577

DanielRamosAcosta commented 6 years ago

Performing the new "npm audit" command in the repo, the report is:

[!] 7 vulnerabilities found - Packages audited: 2049 (61 dev, 119 optional)
    Severity: 4 Low | 2 High | 1 Critical

The critical one is:

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical      │ Command Injection                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ growl                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ mocha                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ mocha > growl                                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/146                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
sjentzsch commented 6 years ago

Same here (obviously). 1 critical and 3 high vulnerabilities coming from swagger. Can this be fixed, or is this package replaced by any other nowadays?

twoheaded commented 6 years ago

The same trouble:

found 21 vulnerabilities (13 low, 7 moderate, 1 high) in 1121 scanned packages

  High            Regular Expression Denial of Service                          

  Package         string                                                        

  Dependency of   swagger-express-mw                                            

  Path            swagger-express-mw > swagger-node-runner > swagger-tools >    
                  string                                                        

  More info       https://nodesecurity.io/advisories/536

runs npm audit fix:

+ swagger-express-mw@0.7.0
added 12 packages from 14 contributors, removed 50 packages, updated 3 packages and moved 3 packages in 9.545s
fixed 14 of 21 vulnerabilities in 1121 scanned packages

but it crashes my app wit error:

Error: Cannot find module 'swagger-tools/middleware/swagger-ui'

it looks like this package is fckn outdated :(

adrbogacz commented 6 years ago

Also multer is vulnerable but they didn't provide fix yet

https://github.com/expressjs/multer/issues/344

LinusU commented 6 years ago

@ziogibom how is Multer vulnerable? would love to get a fix out 👍

nattri07 commented 6 years ago

Bumping for visibility. Any updates on this? Still facing issues with lodash as Prototype Pollution

harman052 commented 5 years ago

Any updates?

djErock commented 5 years ago

Just did a fresh install installed mongoose and got this:

                  === npm audit security report ===

Run npm install --save-dev supertest@4.0.2 to resolve 2 vulnerabilities

SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ supertest [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ supertest > superagent > mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/535 │ └───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Large gzip Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ superagent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ supertest [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ supertest > superagent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/479 │ └───────────────┴──────────────────────────────────────────────────────────────┘

┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > rttc > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > rttc > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > switchback > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > rttc > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > rttc > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > switchback > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > rttc > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > rttc > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > switchback > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ deep-extend │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.5.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > sway > │ │ │ json-schema-faker > deref > deep-extend │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/612 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 30 vulnerabilities (11 low, 1 moderate, 18 high) in 449 scanned packages 2 vulnerabilities require semver-major dependency updates. 28 vulnerabilities require manual review. See the full report for details.

djErock commented 5 years ago

This seems to be getting worse... Can you guys update your lodash dependencies?