storyblok-nuxt icon indicating copy to clipboard operation
storyblok-nuxt copied to clipboard

Published 20 hours ago verified publisher icon storyblok

High vulnerabilities found in the project

Open danychi opened this issue 3 years ago • 8 comments

There are currently a few high vulnerabilities in the project. This is the report that you get after an audit to find moderate/high/critical vulnerabilities:

> yarn audit --level moderate

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Server-Side Request Forgery                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ axios                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=0.21.1                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ storyblok-js-client                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ storyblok-js-client > axios                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1594                        │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.3.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nuxt-module-builder                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nuxt-module-builder > rollup-plugin-node-builtins >          │
│               │ browserify-fs > levelup > semver                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/31                          │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ Memory Exposure                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ bl                                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=0.9.5 <1.0.0 || >=1.0.1                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nuxt-module-builder                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nuxt-module-builder > rollup-plugin-node-builtins >          │
│               │ browserify-fs > levelup > bl                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/596                         │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Remote Memory Exposure                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ bl                                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=1.2.3 <2.0.0 || >=2.2.1 <3.0.0 || >=3.0.1 <4.0.0 ||        │
│               │ >=4.0.3                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nuxt-module-builder                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nuxt-module-builder > rollup-plugin-node-builtins >          │
│               │ browserify-fs > levelup > bl                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1555                        │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ dot-prop                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.2.1 <5.0.0 || >=5.1.1                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nuxt-module-builder                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nuxt-module-builder > standard-version >                     │
│               │ conventional-changelog > conventional-changelog-angular >    │
│               │ compare-func > dot-prop                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1213                        │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ dot-prop                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.2.1 <5.0.0 || >=5.1.1                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nuxt-module-builder                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nuxt-module-builder > standard-version >                     │
│               │ conventional-changelog > conventional-changelog-core >       │
│               │ conventional-changelog-writer > compare-func > dot-prop      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1213                        │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ dot-prop                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.2.1 <5.0.0 || >=5.1.1                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nuxt-module-builder                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nuxt-module-builder > standard-version >                     │
│               │ conventional-changelog > conventional-changelog-jshint >     │
│               │ compare-func > dot-prop                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1213                        │
└───────────────┴──────────────────────────────────────────────────────────────┘

danychi avatar Jan 06 '21 15:01 danychi

My dependabot alerts are ringing too for this precise vulnerability

daguitosama avatar Jan 08 '21 18:01 daguitosama

I would also like to know the progress of this issue.

kendalled avatar Feb 10 '21 18:02 kendalled

Also following the progress on this issue. Could we have a look into upgrading the dependencies to fix security vulnerabilities?

jorgemartins-uon avatar Feb 15 '21 04:02 jorgemartins-uon

+1

larzon83 avatar Feb 25 '21 12:02 larzon83

How far are we with the integration of that pull request? I'd really like to see at least the "high" vulnerability fixed

vonbyte avatar Mar 08 '21 22:03 vonbyte

+1

jorgemartins-uon avatar Mar 08 '21 22:03 jorgemartins-uon

Here is the answer of @emanuelgsouza on my PR.

Hey @f3ltron , thank you for this amazing Pull Request. We would like to communicate that we are working to launch the next version of the storyblok-js-client in a few days. So, we will wait for this release to update our plugin packages.

About your Pull Request, the tests are failing. Therefore, we suggest you to use the Getting Started repository that contains some useful simple examples. You can use the Nuxt Example (with the preview token and some data) to integration tests.

Thank you again.

flozero avatar Mar 15 '21 04:03 flozero

+1

Bergrebell avatar Jan 06 '22 14:01 Bergrebell

Latest audit

yarn audit --level moderate

0 vulnerabilities found - Packages audited: 568

Is this still relevant? I think we can close it and open specific issues if there are further vulnerabilities

alvarosabu avatar Feb 20 '23 14:02 alvarosabu