pelogvc/tor-axios

Multiple security vulnerabilities due to old axios version

Closed this issue · 2 comments

derMart commented

running npm audit reveals some vulnerabilities:
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Exposure of sensitive information in follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.14.7 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ tor-axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ tor-axios > axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ GHSA-74fj-2j2h-c42q
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Server-Side Request Forgery in Axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.21.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ tor-axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ tor-axios > axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ GHSA-4w2v-q235-vp99
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Incorrect Comparison in axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.21.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ tor-axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ tor-axios > axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ GHSA-cph5-m8f7-6c5x
└───────────────┴──────────────────────────────────────────────────────────────┘

please upstream to axios >=0.21.1 to fix this

derMart commented

Ok it seems this is already in the master branch, but my copy of tor-axios installed via npm still has an old version of axios.
Forgotten to release to npm?

pelogvc commented

updated axios version. thx