graphql-request icon indicating copy to clipboard operation
graphql-request copied to clipboard

Published 20 hours ago verified publisher icon jasonkuhrt

Security issue / update cross-fetch to 4.0.0

Open Bessonov opened this issue 3 years ago • 1 comments

graphql-request depends on cross-fetch with outdated node-fetch version:

├─┬ graphql-request 3.7.0
│ └─┬ cross-fetch 3.1.4
│   └── node-fetch 2.6.1

More info:

┌─────────────────────┬────────────────────────────────────────────────────────────────────────────────────────┐
│ high                │ node-fetch is vulnerable to Exposure of Sensitive Information to an Unauthorized Actor │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────┤
│ Package             │ node-fetch                                                                             │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <2.6.7                                                                                 │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────┤
│ Patched versions    │ >=2.6.7                                                                                │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-r683-j2x4-v87g                                      │
└─────────────────────┴────────────────────────────────────────────────────────────────────────────────────────┘

┌─────────────────────┬──────────────────────────────────────────────────────────────────────────┐
│ low                 │ The `size` option isn't honored after following a redirect in node-fetch │
├─────────────────────┼──────────────────────────────────────────────────────────────────────────┤
│ Package             │ node-fetch                                                               │
├─────────────────────┼──────────────────────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <2.6.1                                                                   │
├─────────────────────┼──────────────────────────────────────────────────────────────────────────┤
│ Patched versions    │ >=2.6.1                                                                  │
├─────────────────────┼──────────────────────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-w7rc-rwvf-8q5r                        │
└─────────────────────┴──────────────────────────────────────────────────────────────────────────┘

Bessonov avatar Feb 16 '22 19:02 Bessonov

cross-fetch v3.1.5 also seems to use node-fetch ^2.6.7 if that's any easier to use

dmattia avatar Mar 02 '22 16:03 dmattia

also this issue is very critical for everyone that run background requests in service workers

https://github.com/lquixada/cross-fetch/issues/78

LuizAsFight avatar Jul 25 '23 00:07 LuizAsFight