Open sobadon opened 1 year ago
critical なやつは、依存元の @vue/cli-service が既にあまり使われなくなっている。そのため、そもそものそれを変更するところから始めたほうがよさそうなことが発覚した。Vue 3 系に上げるとかも。
@vue/cli-service
⚠️ Vue CLI is in Maintenance Mode! For new projects, it is now recommended to use create-vue to scaffold Vite-based projects. Also refer to the Vue 3 Tooling Guide for the latest recommendations. https://cli.vuejs.org/guide/cli-service.html
$ yarn audit --level critical yarn audit v1.22.11 ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ ejs template injection vulnerability │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ ejs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=3.1.7 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @vue/cli-service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @vue/cli-service > webpack-bundle-analyzer > ejs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1089270 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Prototype pollution in webpack loader-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ loader-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.4.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @vue/cli-service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @vue/cli-service > html-webpack-plugin > loader-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1091186 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ critical │ Prototype pollution in webpack loader-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ loader-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.4.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @vue/cli-plugin-babel │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @vue/cli-plugin-babel > babel-loader > loader-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1091186 │ └───────────────┴──────────────────────────────────────────────────────────────┘ 21 vulnerabilities found - Packages audited: 1374 Severity: 2 Low | 4 Moderate | 12 High | 3 Critical Done in 1.50s.
critical なやつは、依存元の
@vue/cli-service
が既にあまり使われなくなっている。そのため、そもそものそれを変更するところから始めたほうがよさそうなことが発覚した。Vue 3 系に上げるとかも。