`truffle-solidity-loader` has security vulnerability

[cgewecke]

Referring over here from truffle 941. It looks like the loader was never brought into the suite, and it's not receiving ongoing maintenance. Simplest solution might be to try to bump its deps? @DiscRiskandBisque What do you think?

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ critical      │ Command Injection                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ growl                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ truffle-solidity-loader [dev]                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ truffle-solidity-loader > solidity-parser > mocha > growl    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/146                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ critical      │ Command Injection                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ growl                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ truffle-solidity-loader [dev]                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ truffle-solidity-loader > truffle > mocha > growl            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/146                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ critical      │ Command Injection                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ growl                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ truffle-solidity-loader [dev]                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ truffle-solidity-loader > truffle > solidity-parser > mocha  │
│               │ > growl                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/146                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ truffle-solidity-loader [dev]                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ truffle-solidity-loader > solidity-parser > mocha > glob >   │
│               │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/118                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ truffle-solidity-loader [dev]                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ truffle-solidity-loader > truffle > mocha > glob > minimatch │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/118                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ truffle-solidity-loader [dev]                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ truffle-solidity-loader > truffle > solidity-parser > mocha  │
│               │ > glob > minimatch                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/118                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ truffle-solidity-loader [dev]                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ truffle-solidity-loader > solidity-parser > mocha > debug    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ truffle-solidity-loader [dev]                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ truffle-solidity-loader > truffle > finalhandler > debug     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ truffle-solidity-loader [dev]                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ truffle-solidity-loader > truffle > mocha > debug            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ low           │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ debug                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ truffle-solidity-loader [dev]                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ truffle-solidity-loader > truffle > solidity-parser > mocha  │
│               │ > debug                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/534                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

[!] 29 vulnerabilities found - Packages audited: 29850 (29706 dev, 267 optional)
    Severity: 22 low | 1 moderate | 3 high | 3 critical

[ahester57]

There is command injection vulnerability in web pack > css-loader > macaddress. I've opened an issue over there but they closed it right away. https://github.com/webpack-contrib/css-loader/issues/719

[stale[bot]]

This issue has been automatically marked as stale because it has not had recent activity. It will be closed if no further activity occurs. Thank you for your contributions.

[stale[bot]]

This issue has been closed, but can be re-opened if further comments indicate that the problem persists. Feel free to tag maintainers if no there is no reply to further comments.