Skip to content
This repository has been archived by the owner on Mar 10, 2024. It is now read-only.

Security issues found with current module dependencies #498

Open
alexanderturinske opened this issue Oct 10, 2018 · 0 comments
Open

Security issues found with current module dependencies #498

alexanderturinske opened this issue Oct 10, 2018 · 0 comments

Comments

@alexanderturinske
Copy link

Issue
Running an npm install; npm audit with npm v6.4.0 yields several security vulnerabilities found in dependencies of this module

                       === npm audit security report ===                        
                                                                                
# Run  npm install --save-dev [email protected]  to resolve 5 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ ecstatic                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-server [dev]                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ http-server > ecstatic                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/64                        │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ ecstatic                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-server [dev]                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ http-server > ecstatic                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/553                       │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ mime                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-server [dev]                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ http-server > ecstatic > mime                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/535                       │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Denial-of-Service Memory Exhaustion                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ qs                                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-server [dev]                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ http-server > union > qs                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/29                        │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Denial-of-Service Extended Event Loop Blocking               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ qs                                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-server [dev]                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ http-server > union > qs                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/28                        │
└───────────────┴──────────────────────────────────────────────────────────────┘


# Run  npm install --save-dev [email protected]  to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Cross-Site Scripting (XSS)                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ jquery                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jquery [dev]                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ jquery                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/328                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

Solution

  1. npm install --save-dev [email protected] [email protected]
  2. Check to see if anything broke.
Sign up for free to subscribe to this conversation on GitHub. Already have an account? Sign in.
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@alexanderturinske