diff --git a/maintenance/2026-04-07.md b/maintenance/2026-04-07.md new file mode 100644 index 0000000..44e7638 --- /dev/null +++ b/maintenance/2026-04-07.md @@ -0,0 +1,17 @@ + +# Maintenance + +## Reasons of pending + +## Logs + +### Before + ```js +yarn outdated v1.22.22 +info Visit https://yarnpkg.com/en/docs/cli/outdated for documentation about this command. +``` +### After + ```js +yarn outdated v1.22.22 +info Visit https://yarnpkg.com/en/docs/cli/outdated for documentation about this command. +``` diff --git a/security/2026-04-07.md b/security/2026-04-07.md new file mode 100644 index 0000000..2661c2d --- /dev/null +++ b/security/2026-04-07.md @@ -0,0 +1,747 @@ + +# Security + +## Reasons of pending + +## Logs + +### Before + ```js +yarn audit v1.22.22 +info No lockfile found. +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ critical │ Growl before 1.10.0 vulnerable to Command Injection │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ growl │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=1.10.0 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > growl │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1088328 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ debug Inefficient Regular Expression Complexity │ +│ │ vulnerability │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ debug │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=2.6.9 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > debug │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1094457 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ Prototype Pollution in minimist │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimist │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=0.2.1 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > mkdirp > minimist │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1096466 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ low │ Regular Expression Denial of Service in debug │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ debug │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=2.6.9 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > debug │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1096795 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ critical │ Prototype Pollution in minimist │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimist │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=0.2.4 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > mkdirp > minimist │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1097677 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Regular Expression Denial of Service (ReDoS) │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ diff │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.5.0 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > diff │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1102333 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ Vercel ms Inefficient Regular Expression Complexity │ +│ │ vulnerability │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ ms │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=2.0.0 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > debug > ms │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1109573 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ low │ jsdiff has a Denial of Service vulnerability in parsePatch │ +│ │ and applyPatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ diff │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.5.1 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > diff │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1112703 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ yargs-parser Vulnerable to Prototype Pollution │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ yargs-parser │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=13.1.2 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ alex │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ alex > meow > yargs-parser │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1088811 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ Got allows a redirect to a UNIX socket │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ got │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=11.8.5 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ alex │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ alex > update-notifier > latest-version > package-json > got │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1088948 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Uncontrolled Resource Consumption in trim-newlines │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ trim-newlines │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.0.1 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ alex │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ alex > meow > trim-newlines │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1095100 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Regular Expression Denial of Service (ReDoS) in cross-spawn │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ cross-spawn │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=6.0.6 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ alex │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ alex > update-notifier > boxen > term-size > execa > │ +│ │ cross-spawn │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1104663 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ tough-cookie Prototype Pollution vulnerability │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ tough-cookie │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=4.1.3 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ jsdom │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ jsdom > tough-cookie │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1097682 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ tough-cookie Prototype Pollution vulnerability │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ tough-cookie │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=4.1.3 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ jsdom │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ jsdom > request > tough-cookie │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1097682 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ critical │ form-data uses unsafe random function in form-data for │ +│ │ choosing boundary │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ form-data │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=2.5.4 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ jsdom │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ jsdom > request > form-data │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1109540 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ qs's arrayLimit bypass in its bracket notation allows DoS │ +│ │ via memory exhaustion │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ qs │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=6.14.1 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ jsdom │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ jsdom > request > qs │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1113719 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ Marked ReDoS due to email addresses being evaluated in │ +│ │ quadratic time │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=0.6.2 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ markdown-spellcheck │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ markdown-spellcheck > marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1088022 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Inefficient Regular Expression Complexity in marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=4.0.10 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ markdown-spellcheck │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ markdown-spellcheck > marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1095051 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Inefficient Regular Expression Complexity in marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=4.0.10 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ markdown-spellcheck │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ markdown-spellcheck > marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1095052 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Regular Expression Denial of Service in trim │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ trim │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=0.0.3 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ alex │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ alex > remark-parse > trim │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1089867 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Regular Expression Denial of Service in minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.0.2 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > glob > minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1093710 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ minimatch ReDoS vulnerability │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.0.5 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > glob > minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1096485 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ minimatch has a ReDoS via repeated wildcards with │ +│ │ non-matching literal in pattern │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.1.3 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > glob > minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1113459 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ minimatch has ReDoS: matchOne() combinatorial backtracking │ +│ │ via multiple non-adjacent GLOBSTAR segments │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.1.3 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > glob > minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1113538 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ minimatch ReDoS: nested *() extglobs generate │ +│ │ catastrophically backtracking regular expressions │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.1.4 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > glob > minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1113546 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ Server-Side Request Forgery in Request │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ request │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ No patch available │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ jsdom │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ jsdom > request │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1096727 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ low │ tmp allows arbitrary temporary file / directory write via │ +│ │ symbolic link `dir` parameter │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ tmp │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=0.2.4 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ markdown-spellcheck │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ markdown-spellcheck > inquirer > external-editor > tmp │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1109537 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +27 vulnerabilities found - Packages audited: 629 +Severity: 3 Low | 9 Moderate | 12 High | 3 Critical +Done in 17.11s. +``` +### After + ```js +yarn audit v1.22.22 +info No lockfile found. +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ critical │ Growl before 1.10.0 vulnerable to Command Injection │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ growl │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=1.10.0 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > growl │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1088328 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ debug Inefficient Regular Expression Complexity │ +│ │ vulnerability │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ debug │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=2.6.9 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > debug │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1094457 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ Prototype Pollution in minimist │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimist │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=0.2.1 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > mkdirp > minimist │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1096466 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ low │ Regular Expression Denial of Service in debug │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ debug │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=2.6.9 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > debug │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1096795 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ critical │ Prototype Pollution in minimist │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimist │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=0.2.4 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > mkdirp > minimist │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1097677 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Regular Expression Denial of Service (ReDoS) │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ diff │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.5.0 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > diff │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1102333 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ Vercel ms Inefficient Regular Expression Complexity │ +│ │ vulnerability │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ ms │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=2.0.0 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > debug > ms │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1109573 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ low │ jsdiff has a Denial of Service vulnerability in parsePatch │ +│ │ and applyPatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ diff │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.5.1 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > diff │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1112703 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ yargs-parser Vulnerable to Prototype Pollution │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ yargs-parser │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=13.1.2 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ alex │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ alex > meow > yargs-parser │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1088811 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ Got allows a redirect to a UNIX socket │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ got │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=11.8.5 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ alex │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ alex > update-notifier > latest-version > package-json > got │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1088948 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Uncontrolled Resource Consumption in trim-newlines │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ trim-newlines │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.0.1 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ alex │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ alex > meow > trim-newlines │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1095100 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Regular Expression Denial of Service (ReDoS) in cross-spawn │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ cross-spawn │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=6.0.6 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ alex │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ alex > update-notifier > boxen > term-size > execa > │ +│ │ cross-spawn │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1104663 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ tough-cookie Prototype Pollution vulnerability │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ tough-cookie │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=4.1.3 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ jsdom │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ jsdom > tough-cookie │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1097682 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ tough-cookie Prototype Pollution vulnerability │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ tough-cookie │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=4.1.3 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ jsdom │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ jsdom > request > tough-cookie │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1097682 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ critical │ form-data uses unsafe random function in form-data for │ +│ │ choosing boundary │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ form-data │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=2.5.4 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ jsdom │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ jsdom > request > form-data │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1109540 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ qs's arrayLimit bypass in its bracket notation allows DoS │ +│ │ via memory exhaustion │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ qs │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=6.14.1 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ jsdom │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ jsdom > request > qs │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1113719 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ Marked ReDoS due to email addresses being evaluated in │ +│ │ quadratic time │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=0.6.2 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ markdown-spellcheck │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ markdown-spellcheck > marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1088022 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Inefficient Regular Expression Complexity in marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=4.0.10 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ markdown-spellcheck │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ markdown-spellcheck > marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1095051 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Inefficient Regular Expression Complexity in marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=4.0.10 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ markdown-spellcheck │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ markdown-spellcheck > marked │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1095052 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Regular Expression Denial of Service in trim │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ trim │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=0.0.3 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ alex │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ alex > remark-parse > trim │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1089867 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ Regular Expression Denial of Service in minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.0.2 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > glob > minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1093710 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ minimatch ReDoS vulnerability │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.0.5 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > glob > minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1096485 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ minimatch has a ReDoS via repeated wildcards with │ +│ │ non-matching literal in pattern │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.1.3 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > glob > minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1113459 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ minimatch has ReDoS: matchOne() combinatorial backtracking │ +│ │ via multiple non-adjacent GLOBSTAR segments │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.1.3 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > glob > minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1113538 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ high │ minimatch ReDoS: nested *() extglobs generate │ +│ │ catastrophically backtracking regular expressions │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=3.1.4 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ mocha │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ mocha > glob > minimatch │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1113546 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ moderate │ Server-Side Request Forgery in Request │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ request │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ No patch available │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ jsdom │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ jsdom > request │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1096727 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +┌───────────────┬──────────────────────────────────────────────────────────────┐ +│ low │ tmp allows arbitrary temporary file / directory write via │ +│ │ symbolic link `dir` parameter │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Package │ tmp │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Patched in │ >=0.2.4 │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Dependency of │ markdown-spellcheck │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ Path │ markdown-spellcheck > inquirer > external-editor > tmp │ +├───────────────┼──────────────────────────────────────────────────────────────┤ +│ More info │ https://www.npmjs.com/advisories/1109537 │ +└───────────────┴──────────────────────────────────────────────────────────────┘ +27 vulnerabilities found - Packages audited: 629 +Severity: 3 Low | 9 Moderate | 12 High | 3 Critical +Done in 7.19s. +```