Vulnerabilities found on npm install
Closed this issue · 5 comments
bovas85 commented
[!] 144 vulnerabilities found [48544 packages audited]
Severity: 86 low | 52 moderate | 6 high
Run `npm audit` for more detail
sobolevn commented
Yeap, I have seen these errors. @bovas85 thanks for reporting.
Could you please share your method to find vulnerabilities? Tools and version, please.
I am using nsp
, but it gives different results.
Fix is incoming. Maybe you have some
» npx nsp check
npx: installed 115 in 9.19s
(+) 1 vulnerability found
┌────────────┬────────────────────────────────────────────────────────────────────┐
│ │ Memory Exposure │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name │ tunnel-agent │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS │ 5 (Medium) │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed │ 0.4.3 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <0.6.0 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched │ >=0.6.0 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path │ nuxt-imagemin@0.1.2 > imagemin-webpack-plugin@2.1.1 > │
│ │ imagemin-optipng@5.2.1 > optipng-bin@3.1.4 > bin-build@2.2.0 > │
│ │ download@4.4.3 > caw@1.2.0 > tunnel-agent@0.4.3 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info │ https://nodesecurity.io/advisories/598 │
└────────────┴────────────────────────────────────────────────────────────────────┘
And wemake-vue-template
build failed with this:
┌────────────┬────────────────────────────────────────────────────────────────────┐
│ │ Prototype Pollution │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name │ deep-extend │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS │ 2 (Low) │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed │ 0.5.1 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <6.5.2 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched │ >=6.5.2 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path │ wemake-vue-demo@0.1.0 > nuxt-imagemin@0.1.2 > │
│ │ imagemin-webpack-plugin@2.1.1 > imagemin-optipng@5.2.1 > │
│ │ optipng-bin@3.1.4 > bin-build@2.2.0 > download@4.4.3 > caw@1.2.0 > │
│ │ get-proxy@1.1.0 > rc@1.2.7 > deep-extend@0.5.1 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info │ https://nodesecurity.io/advisories/594 │
└────────────┴────────────────────────────────────────────────────────────────────┘
┌────────────┬────────────────────────────────────────────────────────────────────┐
│ │ Prototype Pollution │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name │ deep-extend │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS │ 2 (Low) │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed │ 0.5.1 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ All │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched │ None ���
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path │ wemake-vue-demo@0.1.0 > nuxt-imagemin@0.1.2 > │
│ │ imagemin-webpack-plugin@2.1.1 > imagemin-optipng@5.2.1 > │
│ │ optipng-bin@3.1.4 > bin-build@2.2.0 > download@4.4.3 > caw@1.2.0 > │
│ │ get-proxy@1.1.0 > rc@1.2.7 > deep-extend@0.5.1 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info │ https://nodesecurity.io/advisories/612 │
└────────────┴────────────────────────────────────────────────────────────────────┘
┌────────────┬────────────────────────────────────────────────────────────────────┐
│ │ Prototype Pollution │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name │ deep-extend │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS │ 2 (Low) │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed │ 0.5.1 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <1.0.1 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched │ >=1.0.1 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path │ wemake-vue-demo@0.1.0 > nuxt-imagemin@0.1.2 > │
│ │ imagemin-webpack-plugin@2.1.1 > imagemin-optipng@5.2.1 > │
│ │ optipng-bin@3.1.4 > bin-build@2.2.0 > download@4.4.3 > caw@1.2.0 > │
│ │ get-proxy@1.1.0 > rc@1.2.7 > deep-extend@0.5.1 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info │ https://nodesecurity.io/advisories/611 │
└────────────┴─���──────────────────────────────────────────────────────────────────┘
┌────────────┬────────────────────────────────────────────────────────────────────┐
│ │ Memory Exposure │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name │ tunnel-agent │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS │ 5 (Medium) │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed │ 0.4.3 │
├─────���──────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <0.6.0 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched │ >=0.6.0 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path │ wemake-vue-demo@0.1.0 > nuxt-imagemin@0.1.2 > │
│ │ imagemin-webpack-plugin@2.1.1 > imagemin-optipng@5.2.1 > │
│ │ optipng-bin@3.1.4 > bin-build@2.2.0 > download@4.4.3 > caw@1.2.0 > │
│ │ tunnel-agent@0.4.3 │
├────────────┼───────────────────────────���────────────────────────────────────────┤
│ More Info │ https://nodesecurity.io/advisories/598 │
└────────────┴────────────────────────────────────────────────────────────────────┘
Link: https://travis-ci.org/wemake-services/wemake-vue-template/builds/376045943#L1029
sobolevn commented
Maintainers' response: Klathmon/imagemin-webpack-plugin#60 (comment)
New version of imagemin-webpack-plugin
is already in master
.
Still waiting @bovas85 response.
bovas85 commented
Ah I see, I just did npm install nuxt/imagemin
and received that notification.
My node is v10
sobolevn commented
sobolevn commented
If so, I will release a new version.