swagger-node
swagger-node copied to clipboard
swagger-api
Vulnerabilities with lodash and deep-extend
When I use nsp: https://www.npmjs.com/package/nsp . it gives me the following vulnerabilities:
[email protected] > [email protected] > [email protected] > [email protected] > [email protected] > [email protected] https://nodesecurity.io/advisories/612
[email protected] > [email protected] > [email protected] https://nodesecurity.io/advisories/577
[email protected] > [email protected] > [email protected] > [email protected] https://nodesecurity.io/advisories/577
[email protected] > [email protected] > [email protected] > [email protected] > [email protected] │ https://nodesecurity.io/advisories/577
[email protected] > [email protected] > [email protected] > [email protected] > [email protected] > [email protected]
https://nodesecurity.io/advisories/577
[email protected] > [email protected] > [email protected] > [email protected] > [email protected] > [email protected] > [email protected] https://nodesecurity.io/advisories/577
[email protected] > [email protected] > [email protected] > [email protected] > [email protected] > [email protected] > [email protected] > [email protected] https://nodesecurity.io/advisories/577
Performing the new "npm audit" command in the repo, the report is:
[!] 7 vulnerabilities found - Packages audited: 2049 (61 dev, 119 optional)
Severity: 4 Low | 2 High | 1 Critical
The critical one is:
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical │ Command Injection │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ growl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ mocha │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ mocha > growl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/146 │
└───────────────┴──────────────────────────────────────────────────────────────┘
Same here (obviously). 1 critical and 3 high vulnerabilities coming from swagger. Can this be fixed, or is this package replaced by any other nowadays?
The same trouble:
found 21 vulnerabilities (13 low, 7 moderate, 1 high) in 1121 scanned packages
High Regular Expression Denial of Service
Package string
Dependency of swagger-express-mw
Path swagger-express-mw > swagger-node-runner > swagger-tools >
string
More info https://nodesecurity.io/advisories/536
runs npm audit fix:
+ [email protected]
added 12 packages from 14 contributors, removed 50 packages, updated 3 packages and moved 3 packages in 9.545s
fixed 14 of 21 vulnerabilities in 1121 scanned packages
but it crashes my app wit error:
Error: Cannot find module 'swagger-tools/middleware/swagger-ui'
it looks like this package is fckn outdated :(
Also multer is vulnerable but they didn't provide fix yet
https://github.com/expressjs/multer/issues/344
Bumping for visibility. Any updates on this? Still facing issues with lodash as Prototype Pollution
Just did a fresh install installed mongoose and got this:
=== npm audit security report ===
Run npm install --save-dev [email protected] to resolve 2 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ supertest [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ supertest > superagent > mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/535 │ └───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Large gzip Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ superagent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ supertest [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ supertest > superagent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/479 │ └───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > rttc > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > rttc > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.11 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > switchback > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > rttc > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > rttc > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > switchback > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1065 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machine > rttc > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > rttc > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=4.17.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > bagpipes > │ │ │ machinepack-http > machinepack-urls > machine > switchback > │ │ │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ deep-extend │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.5.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ swagger-express-mw │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ swagger-express-mw > swagger-node-runner > sway > │ │ │ json-schema-faker > deref > deep-extend │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/612 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 30 vulnerabilities (11 low, 1 moderate, 18 high) in 449 scanned packages 2 vulnerabilities require semver-major dependency updates. 28 vulnerabilities require manual review. See the full report for details.
This seems to be getting worse... Can you guys update your lodash dependencies?