Open yrxwin opened 5 years ago
@yrxwin Thank you for the telling me that Google API Specification refreshed. As you say, this plugin rely on ga-analytics. Are there any other plugins recommended ? Please tell me the plugin if you possible.
The above options are used the following code. https://github.com/tea3/hexo-related-popular-posts/blob/master/lib/googleAnalytics.js#L77-L86
@tea3 What about https://www.npmjs.com/package/googleapis You could see the related post: https://flaviocopes.com/google-analytics-api-nodejs/
Since ga-analytics is published 5 years ago, it depends on a deprecated version of lodash, which is causing github and npm warnings.
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hawk │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.1.3 < 4.0.0 || >=4.1.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-related-popular-posts │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-related-popular-posts > ga-analytics > googleapis > │
│ │ request > hawk │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/77 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-related-popular-posts │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-related-popular-posts > ga-analytics > googleapis > │
│ │ request > hawk > boom > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-related-popular-posts │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-related-popular-posts > ga-analytics > googleapis > │
│ │ request > hawk > cryptiles > boom > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-related-popular-posts │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-related-popular-posts > ga-analytics > googleapis > │
│ │ request > hawk > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-related-popular-posts │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-related-popular-posts > ga-analytics > googleapis > │
│ │ request > hawk > sntp > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-related-popular-posts │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-related-popular-posts > ga-analytics > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/577 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.11 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-related-popular-posts │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-related-popular-posts > ga-analytics > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/782 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.12 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-related-popular-posts │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-related-popular-posts > ga-analytics > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1065 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Memory Exposure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tunnel-agent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.6.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-related-popular-posts │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-related-popular-posts > ga-analytics > googleapis > │
│ │ request > tunnel-agent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/598 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Out-of-bounds Read │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ base64url │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-related-popular-posts │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-related-popular-posts > ga-analytics > googleapis > │
│ │ gapitoken > jws > base64url │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/658 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Out-of-bounds Read │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ base64url │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-related-popular-posts │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-related-popular-posts > ga-analytics > googleapis > │
│ │ gapitoken > jws > jwa > base64url │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/658 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=2.3.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-related-popular-posts │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-related-popular-posts > hexo-fs > chokidar > anymatch > │
│ │ micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/786 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper Authorization │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ googleapis │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=39.1.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-related-popular-posts │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-related-popular-posts > ga-analytics > googleapis │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/791 │
└───────────────┴──────────────────────────────────────────────────────────────┘
It might lead to potential danger according to the information above. To me, it's just annoying because everytime I deploy my repo on github page, it always warns me that I've got 14 vulnerabilities.
Hoping this issue can be soon fixed. Thanks!
Seems this plugin needs the following configuration setup in _config, while some fields seem a bit out-of-date (maybe just because I am not that familiar with the google API, but the dependency ga-analytics seems hasn't been updated for quite a while). Would that be possible to either update the dependency and configuration, or add some detailed guild on how to obtain the following fields? Thanks!