rki-covid-api icon indicating copy to clipboard operation
rki-covid-api copied to clipboard

Published 20 hours ago verified publisher icon marlon360

update dependencies

Open PatrickHaussmann opened this issue 3 years ago • 0 comments

npm audit found 8 vulnerabilities (5 moderate, 3 high)

output of npm audit 
                                                                              
                     === npm audit security report ===                        
                                                                              
# Run  npm install [email protected]  to resolve 2 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Command Injection                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ systeminformation                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pm2                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ pm2 > systeminformation                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1628                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ netmask npm package vulnerable to octal input data           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ netmask                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pm2                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ pm2 > @pm2/io > @pm2/agent-node > proxy-agent >              │
│               │ pac-proxy-agent > pac-resolver > netmask                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1658                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


# Run  npm update ssri --depth 6  to resolve 2 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ ssri                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ vuepress [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ vuepress > @vuepress/core > copy-webpack-plugin > cacache >  │
│               │ ssri                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/565                             │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ ssri                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ vuepress [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ vuepress > @vuepress/core > webpack > terser-webpack-plugin  │
│               │ > cacache > ssri                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/565                             │
└───────────────┴──────────────────────────────────────────────────────────────┘


# Run  npm update @pm2/js-api --depth 2  to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Server-Side Request Forgery                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ axios                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pm2                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ pm2 > @pm2/js-api > axios                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1594                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


# Run  npm update elliptic --depth 7  to resolve 2 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Use of a Broken or Risky Cryptographic Algorithm             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ elliptic                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ vuepress [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ vuepress > @vuepress/core > webpack > node-libs-browser >    │
│               │ crypto-browserify > browserify-sign > elliptic               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1648                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Use of a Broken or Risky Cryptographic Algorithm             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ elliptic                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ vuepress [dev]                                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ vuepress > @vuepress/core > webpack > node-libs-browser >    │
│               │ crypto-browserify > create-ecdh > elliptic                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1648                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


# Run  npm update @pm2/agent --depth 2  to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ netmask npm package vulnerable to octal input data           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ netmask                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pm2                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ pm2 > @pm2/agent > proxy-agent > pac-proxy-agent >           │
│               │ pac-resolver > netmask                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1658                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


found 8 vulnerabilities (5 moderate, 3 high) in 1538 scanned packages
run `npm audit fix` to fix 8 of them.

updated with npm audit fix

PatrickHaussmann avatar May 01 '21 06:05 PatrickHaussmann