Comments (59)
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-g95f-p29q-9xw4 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service (ReDoS) in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cwfw-4gq5-mrqx │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ glob-parent vulnerable to Regular Expression Denial of │
│ │ Service in enclosure regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ glob-parent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > parse-glob > glob-base │
│ │ > glob-parent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-ww39-953v-wcq6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken unrestricted key type could lead to legacy keys │
│ │ usage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8cf7-32gw-wr33 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken's insecure implementation of key retrieval │
│ │ function could lead to Forgeable Public/Private Tokens from │
│ │ RSA to HMAC │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hjrf-2m68-5959 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken vulnerable to signature validation bypass due │
│ │ to insecure default algorithm in jwt.verify() │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qwph-4952-7xr6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.2.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > joi > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jp4x-w63m-7wgm │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.2.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > joi > topo > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jp4x-w63m-7wgm │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 8 vulnerabilities (2 low, 3 moderate, 3 high) in 136 scanned packages
6 vulnerabilities require semver-major dependency updates.
2 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 2 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical │ Prototype Pollution in minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > mkdirp > minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-xvch-5gv4-984h │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution in minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > mkdirp > minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-vh95-rmgr-6w4m │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Server-Side Request Forgery in Request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-p8p7-x288-28g6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ qs vulnerable to Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.5.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hrpp-h998-j3pp │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ tough-cookie Prototype Pollution vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.1.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-72xf-g2v4-qvf3 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 6 vulnerabilities (4 moderate, 1 high, 1 critical) in 144 scanned packages
run `npm audit fix` to fix 1 of them.
2 vulnerabilities require semver-major dependency updates.
3 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 1 moderate severity vulnerability in 92 scanned packages
1 vulnerability requires semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 5 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios vulnerable to Server-Side Request Forgery │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-4w2v-q235-vp99 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │
│ │ in follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-pw2r-vq6v-hr8c │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ axios Inefficient Regular Expression Complexity │
│ │ vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cph5-m8f7-6c5x │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Exposure of sensitive information in follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-74fj-2j2h-c42q │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ easy-soap-request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ easy-soap-request > axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 7 vulnerabilities (5 moderate, 2 high) in 104 scanned packages
run `npm audit fix` to fix 1 of them.
6 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 9 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution in node-forge debug API. │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-5rrq-pxf6-6jx5 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution in node-forge util.setPath API │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wxgw-qj99-44c2 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ URL parsing in node-forge could lead to undesired behavior. │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-gf8q-jrpm-jvxq │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Improper Verification of Cryptographic Signature in │
│ │ `node-forge` │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-2r2c-g63r-vccr │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper calculations in ECC implementation can trigger a │
│ │ Denial-of-Service (DoS) │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-5h4j-qrvg-9xhw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Open Redirect in node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8fr3-hfg3-gpgp │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-92xj-mqp7-vmcj │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper Verification of Cryptographic Signature in │
│ │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cfm4-qjh2-4765 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper Verification of Cryptographic Signature in │
│ │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-x4jg-mjrx-434g │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 10 vulnerabilities (3 low, 3 moderate, 4 high) in 138 scanned packages
run `npm audit fix` to fix 1 of them.
9 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken unrestricted key type could lead to legacy keys │
│ │ usage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8cf7-32gw-wr33 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken's insecure implementation of key retrieval │
│ │ function could lead to Forgeable Public/Private Tokens from │
│ │ RSA to HMAC │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hjrf-2m68-5959 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken vulnerable to signature validation bypass due │
│ │ to insecure default algorithm in jwt.verify() │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qwph-4952-7xr6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 3 moderate severity vulnerabilities in 256 scanned packages
3 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 2 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical │ Prototype Pollution in minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > mkdirp > minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-xvch-5gv4-984h │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution in minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > mkdirp > minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-vh95-rmgr-6w4m │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Server-Side Request Forgery in Request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-p8p7-x288-28g6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ qs vulnerable to Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.5.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hrpp-h998-j3pp │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ tough-cookie Prototype Pollution vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.1.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-72xf-g2v4-qvf3 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 6 vulnerabilities (4 moderate, 1 high, 1 critical) in 144 scanned packages
run `npm audit fix` to fix 1 of them.
2 vulnerabilities require semver-major dependency updates.
3 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 1 moderate severity vulnerability in 92 scanned packages
1 vulnerability requires semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-g95f-p29q-9xw4 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service (ReDoS) in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cwfw-4gq5-mrqx │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ glob-parent vulnerable to Regular Expression Denial of │
│ │ Service in enclosure regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ glob-parent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > parse-glob > glob-base │
│ │ > glob-parent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-ww39-953v-wcq6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken unrestricted key type could lead to legacy keys │
│ │ usage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8cf7-32gw-wr33 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken's insecure implementation of key retrieval │
│ │ function could lead to Forgeable Public/Private Tokens from │
│ │ RSA to HMAC │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hjrf-2m68-5959 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken vulnerable to signature validation bypass due │
│ │ to insecure default algorithm in jwt.verify() │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qwph-4952-7xr6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.2.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > joi > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jp4x-w63m-7wgm │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.2.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > joi > topo > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jp4x-w63m-7wgm │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 8 vulnerabilities (2 low, 3 moderate, 3 high) in 136 scanned packages
6 vulnerabilities require semver-major dependency updates.
2 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 5 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios vulnerable to Server-Side Request Forgery │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-4w2v-q235-vp99 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │
│ │ in follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-pw2r-vq6v-hr8c │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ axios Inefficient Regular Expression Complexity │
│ │ vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cph5-m8f7-6c5x │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Exposure of sensitive information in follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-74fj-2j2h-c42q │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ easy-soap-request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ easy-soap-request > axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 7 vulnerabilities (5 moderate, 2 high) in 104 scanned packages
run `npm audit fix` to fix 1 of them.
6 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution in Ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.12.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > har-validator > ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-v88g-cgmw-v5xw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Server-Side Request Forgery in Request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-p8p7-x288-28g6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ qs vulnerable to Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.5.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hrpp-h998-j3pp │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ tough-cookie Prototype Pollution vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.1.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-72xf-g2v4-qvf3 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 6 vulnerabilities (5 moderate, 1 high) in 192 scanned packages
run `npm audit fix` to fix 1 of them.
1 vulnerability requires semver-major dependency updates.
4 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 9 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution in node-forge debug API. │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-5rrq-pxf6-6jx5 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution in node-forge util.setPath API │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wxgw-qj99-44c2 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ URL parsing in node-forge could lead to undesired behavior. │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-gf8q-jrpm-jvxq │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Improper Verification of Cryptographic Signature in │
│ │ `node-forge` │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-2r2c-g63r-vccr │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper calculations in ECC implementation can trigger a │
│ │ Denial-of-Service (DoS) │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-5h4j-qrvg-9xhw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Open Redirect in node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8fr3-hfg3-gpgp │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-92xj-mqp7-vmcj │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper Verification of Cryptographic Signature in │
│ │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cfm4-qjh2-4765 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper Verification of Cryptographic Signature in │
│ │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-x4jg-mjrx-434g │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 10 vulnerabilities (3 low, 3 moderate, 4 high) in 138 scanned packages
run `npm audit fix` to fix 1 of them.
9 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken unrestricted key type could lead to legacy keys │
│ │ usage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8cf7-32gw-wr33 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken's insecure implementation of key retrieval │
│ │ function could lead to Forgeable Public/Private Tokens from │
│ │ RSA to HMAC │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hjrf-2m68-5959 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken vulnerable to signature validation bypass due │
│ │ to insecure default algorithm in jwt.verify() │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qwph-4952-7xr6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 3 moderate severity vulnerabilities in 256 scanned packages
3 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution in Ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.12.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > har-validator > ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-v88g-cgmw-v5xw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Server-Side Request Forgery in Request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-p8p7-x288-28g6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ qs vulnerable to Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.5.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hrpp-h998-j3pp │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ tough-cookie Prototype Pollution vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.1.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-72xf-g2v4-qvf3 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 6 vulnerabilities (5 moderate, 1 high) in 192 scanned packages
run `npm audit fix` to fix 1 of them.
1 vulnerability requires semver-major dependency updates.
4 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 5 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios vulnerable to Server-Side Request Forgery │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-4w2v-q235-vp99 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │
│ │ in follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-pw2r-vq6v-hr8c │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ axios Inefficient Regular Expression Complexity │
│ │ vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cph5-m8f7-6c5x │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Exposure of sensitive information in follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-74fj-2j2h-c42q │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ easy-soap-request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ easy-soap-request > axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 7 vulnerabilities (5 moderate, 2 high) in 104 scanned packages
run `npm audit fix` to fix 1 of them.
6 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 2 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical │ Prototype Pollution in minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > mkdirp > minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-xvch-5gv4-984h │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution in minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > mkdirp > minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-vh95-rmgr-6w4m │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Server-Side Request Forgery in Request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-p8p7-x288-28g6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ qs vulnerable to Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.5.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hrpp-h998-j3pp │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ tough-cookie Prototype Pollution vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.1.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-72xf-g2v4-qvf3 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 6 vulnerabilities (4 moderate, 1 high, 1 critical) in 144 scanned packages
run `npm audit fix` to fix 1 of them.
2 vulnerabilities require semver-major dependency updates.
3 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-g95f-p29q-9xw4 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service (ReDoS) in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cwfw-4gq5-mrqx │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ glob-parent vulnerable to Regular Expression Denial of │
│ │ Service in enclosure regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ glob-parent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > parse-glob > glob-base │
│ │ > glob-parent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-ww39-953v-wcq6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken unrestricted key type could lead to legacy keys │
│ │ usage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8cf7-32gw-wr33 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken's insecure implementation of key retrieval │
│ │ function could lead to Forgeable Public/Private Tokens from │
│ │ RSA to HMAC │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hjrf-2m68-5959 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken vulnerable to signature validation bypass due │
│ │ to insecure default algorithm in jwt.verify() │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qwph-4952-7xr6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.2.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > joi > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jp4x-w63m-7wgm │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.2.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > joi > topo > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jp4x-w63m-7wgm │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 8 vulnerabilities (2 low, 3 moderate, 3 high) in 136 scanned packages
6 vulnerabilities require semver-major dependency updates.
2 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 1 moderate severity vulnerability in 92 scanned packages
1 vulnerability requires semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 9 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution in node-forge debug API. │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-5rrq-pxf6-6jx5 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution in node-forge util.setPath API │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wxgw-qj99-44c2 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ URL parsing in node-forge could lead to undesired behavior. │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-gf8q-jrpm-jvxq │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Improper Verification of Cryptographic Signature in │
│ │ `node-forge` │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-2r2c-g63r-vccr │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper calculations in ECC implementation can trigger a │
│ │ Denial-of-Service (DoS) │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-5h4j-qrvg-9xhw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Open Redirect in node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8fr3-hfg3-gpgp │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-92xj-mqp7-vmcj │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper Verification of Cryptographic Signature in │
│ │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cfm4-qjh2-4765 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper Verification of Cryptographic Signature in │
│ │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-x4jg-mjrx-434g │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 10 vulnerabilities (3 low, 3 moderate, 4 high) in 138 scanned packages
run `npm audit fix` to fix 1 of them.
9 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken unrestricted key type could lead to legacy keys │
│ │ usage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8cf7-32gw-wr33 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken's insecure implementation of key retrieval │
│ │ function could lead to Forgeable Public/Private Tokens from │
│ │ RSA to HMAC │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hjrf-2m68-5959 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken vulnerable to signature validation bypass due │
│ │ to insecure default algorithm in jwt.verify() │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qwph-4952-7xr6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 3 moderate severity vulnerabilities in 256 scanned packages
3 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 5 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios vulnerable to Server-Side Request Forgery │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-4w2v-q235-vp99 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │
│ │ in follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-pw2r-vq6v-hr8c │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ axios Inefficient Regular Expression Complexity │
│ │ vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cph5-m8f7-6c5x │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Exposure of sensitive information in follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-74fj-2j2h-c42q │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ easy-soap-request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ easy-soap-request > axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 7 vulnerabilities (5 moderate, 2 high) in 104 scanned packages
run `npm audit fix` to fix 1 of them.
6 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 1 moderate severity vulnerability in 92 scanned packages
1 vulnerability requires semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 2 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical │ Prototype Pollution in minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > mkdirp > minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-xvch-5gv4-984h │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution in minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > mkdirp > minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-vh95-rmgr-6w4m │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Server-Side Request Forgery in Request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-p8p7-x288-28g6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ qs vulnerable to Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.5.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hrpp-h998-j3pp │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ tough-cookie Prototype Pollution vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.1.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-72xf-g2v4-qvf3 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 6 vulnerabilities (4 moderate, 1 high, 1 critical) in 144 scanned packages
run `npm audit fix` to fix 1 of them.
2 vulnerabilities require semver-major dependency updates.
3 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution in Ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.12.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > har-validator > ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-v88g-cgmw-v5xw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Server-Side Request Forgery in Request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-p8p7-x288-28g6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ qs vulnerable to Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.5.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hrpp-h998-j3pp │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ tough-cookie Prototype Pollution vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.1.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-72xf-g2v4-qvf3 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 6 vulnerabilities (5 moderate, 1 high) in 192 scanned packages
run `npm audit fix` to fix 1 of them.
1 vulnerability requires semver-major dependency updates.
4 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-g95f-p29q-9xw4 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service (ReDoS) in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cwfw-4gq5-mrqx │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ glob-parent vulnerable to Regular Expression Denial of │
│ │ Service in enclosure regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ glob-parent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > parse-glob > glob-base │
│ │ > glob-parent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-ww39-953v-wcq6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken unrestricted key type could lead to legacy keys │
│ │ usage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8cf7-32gw-wr33 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken's insecure implementation of key retrieval │
│ │ function could lead to Forgeable Public/Private Tokens from │
│ │ RSA to HMAC │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hjrf-2m68-5959 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken vulnerable to signature validation bypass due │
│ │ to insecure default algorithm in jwt.verify() │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qwph-4952-7xr6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.2.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > joi > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jp4x-w63m-7wgm │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.2.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > joi > topo > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jp4x-w63m-7wgm │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 8 vulnerabilities (2 low, 3 moderate, 3 high) in 136 scanned packages
6 vulnerabilities require semver-major dependency updates.
2 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 9 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution in node-forge debug API. │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-5rrq-pxf6-6jx5 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution in node-forge util.setPath API │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wxgw-qj99-44c2 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ URL parsing in node-forge could lead to undesired behavior. │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-gf8q-jrpm-jvxq │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Improper Verification of Cryptographic Signature in │
│ │ `node-forge` │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-2r2c-g63r-vccr │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper calculations in ECC implementation can trigger a │
│ │ Denial-of-Service (DoS) │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-5h4j-qrvg-9xhw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Open Redirect in node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8fr3-hfg3-gpgp │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-92xj-mqp7-vmcj │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper Verification of Cryptographic Signature in │
│ │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cfm4-qjh2-4765 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper Verification of Cryptographic Signature in │
│ │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-x4jg-mjrx-434g │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 10 vulnerabilities (3 low, 3 moderate, 4 high) in 138 scanned packages
run `npm audit fix` to fix 1 of them.
9 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken unrestricted key type could lead to legacy keys │
│ │ usage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8cf7-32gw-wr33 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken's insecure implementation of key retrieval │
│ │ function could lead to Forgeable Public/Private Tokens from │
│ │ RSA to HMAC │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hjrf-2m68-5959 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken vulnerable to signature validation bypass due │
│ │ to insecure default algorithm in jwt.verify() │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qwph-4952-7xr6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 3 moderate severity vulnerabilities in 256 scanned packages
3 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 2 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution in minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > mkdirp > minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-vh95-rmgr-6w4m │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical │ Prototype Pollution in minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > mkdirp > minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-xvch-5gv4-984h │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Server-Side Request Forgery in Request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-p8p7-x288-28g6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ tough-cookie Prototype Pollution vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.1.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-72xf-g2v4-qvf3 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ qs vulnerable to Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.5.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hrpp-h998-j3pp │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 6 vulnerabilities (4 moderate, 1 high, 1 critical) in 144 scanned packages
run `npm audit fix` to fix 1 of them.
2 vulnerabilities require semver-major dependency updates.
3 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 6 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios vulnerable to Server-Side Request Forgery │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-4w2v-q235-vp99 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │
│ │ in follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-pw2r-vq6v-hr8c │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ axios Inefficient Regular Expression Complexity │
│ │ vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cph5-m8f7-6c5x │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Exposure of sensitive information in follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-74fj-2j2h-c42q │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Follow Redirects improperly handles URLs in the url.parse() │
│ │ function │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jchw-25xp-jwwc │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ easy-soap-request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ easy-soap-request > axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update follow-redirects --depth 3 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Follow Redirects improperly handles URLs in the url.parse() │
│ │ function │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ easy-soap-request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ easy-soap-request > axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jchw-25xp-jwwc │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 9 vulnerabilities (7 moderate, 2 high) in 104 scanned packages
run `npm audit fix` to fix 2 of them.
7 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-g95f-p29q-9xw4 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service (ReDoS) in braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > braces │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cwfw-4gq5-mrqx │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ glob-parent vulnerable to Regular Expression Denial of │
│ │ Service in enclosure regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ glob-parent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > micromatch > parse-glob > glob-base │
│ │ > glob-parent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-ww39-953v-wcq6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken unrestricted key type could lead to legacy keys │
│ │ usage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8cf7-32gw-wr33 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken's insecure implementation of key retrieval │
│ │ function could lead to Forgeable Public/Private Tokens from │
│ │ RSA to HMAC │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hjrf-2m68-5959 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken vulnerable to signature validation bypass due │
│ │ to insecure default algorithm in jwt.verify() │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qwph-4952-7xr6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update follow-redirects --depth 3 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Follow Redirects improperly handles URLs in the url.parse() │
│ │ function │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ http-proxy-middleware │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ http-proxy-middleware > http-proxy > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jchw-25xp-jwwc │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.2.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > joi > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jp4x-w63m-7wgm │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.2.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > joi > topo > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jp4x-w63m-7wgm │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 9 vulnerabilities (2 low, 4 moderate, 3 high) in 136 scanned packages
run `npm audit fix` to fix 1 of them.
6 vulnerabilities require semver-major dependency updates.
2 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ winston-daily-rotate-file │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ winston-daily-rotate-file > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution in Ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.12.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > har-validator > ajv │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-v88g-cgmw-v5xw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Server-Side Request Forgery in Request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ No patch available │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-p8p7-x288-28g6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ tough-cookie Prototype Pollution vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.1.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > tough-cookie │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-72xf-g2v4-qvf3 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ qs vulnerable to Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=6.5.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ request > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hrpp-h998-j3pp │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 6 vulnerabilities (5 moderate, 1 high) in 192 scanned packages
run `npm audit fix` to fix 1 of them.
1 vulnerability requires semver-major dependency updates.
4 vulnerabilities require manual review. See the full report for details.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update follow-redirects --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Follow Redirects improperly handles URLs in the url.parse() │
│ │ function │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jchw-25xp-jwwc │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 2 moderate severity vulnerabilities in 92 scanned packages
run `npm audit fix` to fix 1 of them.
1 vulnerability requires semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 9 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution in node-forge debug API. │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-5rrq-pxf6-6jx5 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution in node-forge util.setPath API │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wxgw-qj99-44c2 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ URL parsing in node-forge could lead to undesired behavior. │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-gf8q-jrpm-jvxq │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Improper Verification of Cryptographic Signature in │
│ │ `node-forge` │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-2r2c-g63r-vccr │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper calculations in ECC implementation can trigger a │
│ │ Denial-of-Service (DoS) │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-5h4j-qrvg-9xhw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Open Redirect in node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8fr3-hfg3-gpgp │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-92xj-mqp7-vmcj │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper Verification of Cryptographic Signature in │
│ │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-cfm4-qjh2-4765 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Improper Verification of Cryptographic Signature in │
│ │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ node-jose │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ node-jose > node-forge │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-x4jg-mjrx-434g │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update semver --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 10 vulnerabilities (3 low, 3 moderate, 4 high) in 138 scanned packages
run `npm audit fix` to fix 1 of them.
9 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm update follow-redirects --depth 3 to resolve 2 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Follow Redirects improperly handles URLs in the url.parse() │
│ │ function │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jchw-25xp-jwwc │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Follow Redirects improperly handles URLs in the url.parse() │
│ │ function │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ common-lib-vue │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ common-lib-vue > axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jchw-25xp-jwwc │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 2 moderate severity vulnerabilities in 74 scanned packages
run `npm audit fix` to fix 2 of them.
from moh-aop-oop.
github-actions
commented on June 30, 2024
=== npm audit security report ===
# Run npm install [email protected] to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken unrestricted key type could lead to legacy keys │
│ │ usage │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8cf7-32gw-wr33 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken's insecure implementation of key retrieval │
│ │ function could lead to Forgeable Public/Private Tokens from │
│ │ RSA to HMAC │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-hjrf-2m68-5959 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ jsonwebtoken vulnerable to signature validation bypass due │
│ │ to insecure default algorithm in jwt.verify() │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ jsonwebtoken │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qwph-4952-7xr6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update follow-redirects --depth 3 to resolve 2 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Follow Redirects improperly handles URLs in the url.parse() │
│ │ function │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jchw-25xp-jwwc │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Follow Redirects improperly handles URLs in the url.parse() │
│ │ function │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ common-lib-vue │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ common-lib-vue > axios > follow-redirects │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-jchw-25xp-jwwc │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 5 moderate severity vulnerabilities in 256 scanned packages
run `npm audit fix` to fix 2 of them.
3 vulnerabilities require semver-major dependency updates.
from moh-aop-oop.
Related Issues (8)
- Lets use common phrasing HOT 9
- Add missing topics HOT 9
- It's Been a While Since This Repository has Been Updated HOT 1
- It's Been a While Since This Repository has Been Updated HOT 2
- It's Been a While Since This Repository has Been Updated HOT 1
- npm audit found vulnerabilities (services) HOT 5
- npm audit found vulnerabilities (aop)
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from moh-aop-oop.