utils icon indicating copy to clipboard operation
utils copied to clipboard

Published 20 hours ago verified publisher icon serverless

Security vulnerability from `file-type` inner dependency

Open alfaproject opened this issue 1 year ago • 1 comments

This package depends on archive-type and decompress which seem abandoned and they depend on really old versions of file-type triggering our CI audit checks:

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ file-type vulnerable to Infinite Loop via malformed MKV file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ file-type                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=16.5.4                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @the-mill/infra-serverless                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @the-mill/infra-serverless > serverless > @serverless/utils  │
│               │ > archive-type > file-type                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1081704                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ file-type vulnerable to Infinite Loop via malformed MKV file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ file-type                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=16.5.4                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @the-mill/infra-serverless                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @the-mill/infra-serverless > serverless > @serverless/utils  │
│               │ > decompress > decompress-tar > file-type                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1081704                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ file-type vulnerable to Infinite Loop via malformed MKV file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ file-type                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=16.5.4                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @the-mill/infra-serverless                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @the-mill/infra-serverless > serverless > @serverless/utils  │
│               │ > decompress > decompress-tarbz2 > file-type                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1081704                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ file-type vulnerable to Infinite Loop via malformed MKV file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ file-type                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=16.5.4                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @the-mill/infra-serverless                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @the-mill/infra-serverless > serverless > @serverless/utils  │
│               │ > decompress > decompress-targz > file-type                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1081704                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ file-type vulnerable to Infinite Loop via malformed MKV file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ file-type                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=16.5.4                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @the-mill/infra-serverless                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @the-mill/infra-serverless > serverless > @serverless/utils  │
│               │ > decompress > decompress-unzip > file-type                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1081704                     │
└───────────────┴──────────────────────────────────────────────────────────────┘

alfaproject avatar Jul 23 '22 02:07 alfaproject