Lodash security issue

[mctaggaj]

The version of lodash this package is using has a security vulnerability (found in npm audit) this issue can be resolved by updating the version of lodash to >= 4.17.5

[mikegioia]

Is it possible to update this? I'm getting the same npm audit message.

[hkernbach]

Yep, now even more. Still maintained?

High:

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.11                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-contrib-jst [dev]                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ grunt-contrib-jst > lodash                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/782                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.12                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-contrib-jst [dev]                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ grunt-contrib-jst > lodash                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1065                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

Low:

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-contrib-jst [dev]                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ grunt-contrib-jst > lodash                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/577                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

[shailesh-kanzariya]

I am also getting THREE

@All, Is there any other alternate solution if this is not fixed in this module/grunt-contrib-jst?

[shailesh-kanzariya]

@vladikoff Fixed this issue and created PR for the same @ https://github.com/gruntjs/grunt-contrib-jst/pull/65

[shailesh-kanzariya]

@vladikoff Fixed this issue and created PR for the same @ #65

@vladikoff Thank you for pointing it out. Updated CI script.