PnX-SI/UsersHub

Application JS - sécurité npm package Datatables.net

Gaetanbrl opened this issue · 0 comments

Gaetanbrl commented

Bonjour,

Descriptif

L'application JS utilise un package DataTables.net qui semble contenir une faille de sécurité remontée par Node.js.

UsersHub/app/static/package.json

Line 31 in f0d7d55

"datatables.net": "^1.10.19",

Se problème semble lié à la version du package <=1.10.x, vous pouvez avoir plus de détails ici :

https://security.snyk.io/vuln/SNYK-JS-DATATABLESNET-598806
https://security.snyk.io/vuln/SNYK-JS-DATATABLESNET-1016402

L'issue de sécurité la plus élevée ne semble pas être présente dans la version actuelle est datatables.net 1.11.x.

Il pourrait être intéressant de faire un upgrade de cette dépendance datatables.net en utilisant la v1.11.x à la place de 1.10.x (si gérée par la version npm actuelle préconisée lors de l'install de usershub).

Reproduire

  1. se placer dans le répertoire /app/static
cd /app/static
  1. installer l'application :
npm install
  1. lancer une analyse des packages
npm audit

... retourne :

# Run  npm update datatables.net --depth 1  to resolve 2 vulnerabilities

┌───────────────┬──────────────────────────────────────────────────────────────┐

│ Moderate      │ Cross site scripting in datatables.net                       │

├───────────────┼──────────────────────────────────────────────────────────────┤

│ Package       │ datatables.net                                               │

├───────────────┼──────────────────────────────────────────────────────────────┤

│ Dependency of │ datatables.net                                               │

├───────────────┼──────────────────────────────────────────────────────────────┤

│ Path          │ datatables.net                                               │

├───────────────┼──────────────────────────────────────────────────────────────┤

│ More info     │ https://nodesecurity.io/advisories/1004927                   │

└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐

│ High          │ Prototype pollution in datatables.net                        │

├───────────────┼──────────────────────────────────────────────────────────────┤

│ Package       │ datatables.net                                               │

├───────────────┼──────────────────────────────────────────────────────────────┤

│ Dependency of │ datatables.net                                               │

├───────────────┼──────────────────────────────────────────────────────────────┤

│ Path          │ datatables.net                                               │

├───────────────┼──────────────────────────────────────────────────────────────┤

│ More info     │ https://nodesecurity.io/advisories/1005517                   │

└───────────────┴──────────────────────────────────────────────────────────────┘