Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

NPM high severity vulnerability #21

Open
duskvirkus opened this issue Apr 5, 2019 · 1 comment
Open

NPM high severity vulnerability #21

duskvirkus opened this issue Apr 5, 2019 · 1 comment

Comments

@duskvirkus
Copy link

NPM is telling me found 1 high severity vulnerability and it looks to be coming through a chain of dependencies on grunt-typedoc.

Here is the result of running npm audit:

                       === npm audit security report ===                        
                                                                                
                                                                                
                                 Manual Review                                  
             Some vulnerabilities require your attention to resolve             
                                                                                
          Visit https://go.npm.me/audit-guide for additional guidance           
                                                                                
                                                                                
  High            Prototype Pollution                                           
                                                                                
  Package         handlebars                                                    
                                                                                
  Patched in      >=4.0.13                                                      
                                                                                
  Dependency of   grunt-typedoc [dev]                                           
                                                                                
  Path            grunt-typedoc > typedoc > handlebars                          
                                                                                
  More info       https://npmjs.com/advisories/755                              
                                                                                
found 1 high severity vulnerability in 1710715 scanned packages
  1 vulnerability requires manual review. See the full report for details.

So I did some digging in the package-lock.json of my project. Here is the chain:

    "grunt-typedoc": {
      "version": "0.2.4",
      "resolved": "https://registry.npmjs.org/grunt-typedoc/-/grunt-typedoc-0.2.4.tgz",
      "integrity": "sha1-TjgqVObdnxqqK9fBhj0dJh28tj8=",
      "dev": true,
      "requires": {
        "typedoc": "^0.4.1"
      },
      "dependencies": {
        // abbreviated
       "handlebars": {
          "version": "4.0.5",
          "resolved": "https://registry.npmjs.org/handlebars/-/handlebars-4.0.5.tgz",
          "integrity": "sha1-ksbta7FkEQxQ1NjQ+93HCAbG+Oc=",
          "dev": true,
          "requires": {
            "async": "^1.4.0",
            "optimist": "^0.6.1",
            "source-map": "^0.4.4",
            "uglify-js": "^2.6"
          }
        },
        // abbreviated

I'll probably just switch to using grunt-run for this task but I thought I'd file a issue because it probably could be solved by changing your package.json to a newer version of typedoc.
@ozbillwang
Copy link

more related this package


03:24 $ npm audit

                       === npm audit security report ===

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical      │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.0.14 <4.1.0 || >=4.1.2                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev]                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ grunt-typedoc > typedoc > handlebars                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/755                             │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.3.0                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev]                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ grunt-typedoc > typedoc > handlebars                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1164                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.4.5                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev]                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ grunt-typedoc > typedoc > handlebars                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1300                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary Code Execution                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.5.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev]                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ grunt-typedoc > typedoc > handlebars                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1316                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Arbitrary Code Execution                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.5.3                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev]                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ grunt-typedoc > typedoc > handlebars                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1324                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ handlebars                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.5.3                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev]                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ grunt-typedoc > typedoc > handlebars                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1325                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ marked                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=0.6.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ grunt-typedoc [dev]                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ grunt-typedoc > typedoc > marked                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/812                             │
└───────────────┴──────────────────────────────────────────────────────────────┘

@rvilarl rvilarl mentioned this issue Jan 3, 2022
Closed
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

Successfully merging a pull request may close this issue.

npm-upgrade
3 participants
@ozbillwang @duskvirkus and others