wemake-services/nuxt-imagemin

Vulnerabilities found on npm install

Closed this issue · 5 comments

[!] 144 vulnerabilities found [48544 packages audited]
    Severity: 86 low | 52 moderate | 6 high
    Run `npm audit` for more detail

Yeap, I have seen these errors. @bovas85 thanks for reporting.
Could you please share your method to find vulnerabilities? Tools and version, please.
I am using nsp, but it gives different results.

Fix is incoming. Maybe you have some

» npx nsp check
npx: installed 115 in 9.19s
(+) 1 vulnerability found
┌────────────┬────────────────────────────────────────────────────────────────────┐
│            │ Memory Exposure                                                    │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name       │ tunnel-agent                                                       │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS       │ 5 (Medium)                                                         │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed  │ 0.4.3                                                              │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <0.6.0                                                             │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched    │ >=0.6.0                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path       │ nuxt-imagemin@0.1.2 > imagemin-webpack-plugin@2.1.1 >              │
│            │ imagemin-optipng@5.2.1 > optipng-bin@3.1.4 > bin-build@2.2.0 >     │
│            │ download@4.4.3 > caw@1.2.0 > tunnel-agent@0.4.3                    │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info  │ https://nodesecurity.io/advisories/598                             │
└────────────┴────────────────────────────────────────────────────────────────────┘


And wemake-vue-template build failed with this:

┌────────────┬────────────────────────────────────────────────────────────────────┐
│            │ Prototype Pollution                                                │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name       │ deep-extend                                                        │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS       │ 2 (Low)                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed  │ 0.5.1                                                              │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <6.5.2                                                             │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched    │ >=6.5.2                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path       │ wemake-vue-demo@0.1.0 > nuxt-imagemin@0.1.2 >                      │
│            │ imagemin-webpack-plugin@2.1.1 > imagemin-optipng@5.2.1 >           │
│            │ optipng-bin@3.1.4 > bin-build@2.2.0 > download@4.4.3 > caw@1.2.0 > │
│            │ get-proxy@1.1.0 > rc@1.2.7 > deep-extend@0.5.1                     │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info  │ https://nodesecurity.io/advisories/594                             │
└────────────┴────────────────────────────────────────────────────────────────────┘

┌────────────┬────────────────────────────────────────────────────────────────────┐
│            │ Prototype Pollution                                                │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name       │ deep-extend                                                        │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS       │ 2 (Low)                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed  │ 0.5.1                                                              │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ All                                                                │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched    │ None                                                               ���
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path       │ wemake-vue-demo@0.1.0 > nuxt-imagemin@0.1.2 >                      │
│            │ imagemin-webpack-plugin@2.1.1 > imagemin-optipng@5.2.1 >           │
│            │ optipng-bin@3.1.4 > bin-build@2.2.0 > download@4.4.3 > caw@1.2.0 > │
│            │ get-proxy@1.1.0 > rc@1.2.7 > deep-extend@0.5.1                     │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info  │ https://nodesecurity.io/advisories/612                             │
└────────────┴────────────────────────────────────────────────────────────────────┘

┌────────────┬────────────────────────────────────────────────────────────────────┐
│            │ Prototype Pollution                                                │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name       │ deep-extend                                                        │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS       │ 2 (Low)                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed  │ 0.5.1                                                              │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <1.0.1                                                             │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched    │ >=1.0.1                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path       │ wemake-vue-demo@0.1.0 > nuxt-imagemin@0.1.2 >                      │
│            │ imagemin-webpack-plugin@2.1.1 > imagemin-optipng@5.2.1 >           │
│            │ optipng-bin@3.1.4 > bin-build@2.2.0 > download@4.4.3 > caw@1.2.0 > │
│            │ get-proxy@1.1.0 > rc@1.2.7 > deep-extend@0.5.1                     │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info  │ https://nodesecurity.io/advisories/611                             │
└────────────┴─���──────────────────────────────────────────────────────────────────┘

┌────────────┬────────────────────────────────────────────────────────────────────┐
│            │ Memory Exposure                                                    │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name       │ tunnel-agent                                                       │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS       │ 5 (Medium)                                                         │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed  │ 0.4.3                                                              │
├─────���──────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <0.6.0                                                             │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched    │ >=0.6.0                                                            │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path       │ wemake-vue-demo@0.1.0 > nuxt-imagemin@0.1.2 >                      │
│            │ imagemin-webpack-plugin@2.1.1 > imagemin-optipng@5.2.1 >           │
│            │ optipng-bin@3.1.4 > bin-build@2.2.0 > download@4.4.3 > caw@1.2.0 > │
│            │ tunnel-agent@0.4.3                                                 │
├────────────┼───────────────────────────���────────────────────────────────────────┤
│ More Info  │ https://nodesecurity.io/advisories/598                             │
└────────────┴────────────────────────────────────────────────────────────────────┘

Link: https://travis-ci.org/wemake-services/wemake-vue-template/builds/376045943#L1029

Maintainers' response: Klathmon/imagemin-webpack-plugin#60 (comment)

New version of imagemin-webpack-plugin is already in master.
Still waiting @bovas85 response.

Ah I see, I just did npm install nuxt/imagemin and received that notification.
My node is v10

@bovas85 can you please verify that is still an issue with the master version?
After merging #27 it should be solved.

If so, I will release a new version.