npm audit returns 23 vulnerabilities (11 low, 8 high, 4 critical) · Issue #220 · jprichardson/string.js

It's mostly older dependencies. This library is a key dependency for [swagger-test-templates](https://github.com/apigee-127/swagger-test-templates) --in turn a dependency for swagger-node, which I find very useful for API dev as well. I've fixed all of these, run the tests and I'm trying to make a pull request. ``` charles@Charles-MacBook$ npm audit === npm audit security report === # Run npm install --save-dev [email protected] to resolve 6 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ mochify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ mochify > mocaccino > mocha > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ mochify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ mochify > mocha > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ mochify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ mochify > mocaccino > mocha > glob > minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/118 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ mochify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ mochify > mocha > glob > minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/118 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Critical │ Command Injection │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ growl │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ mochify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ mochify > mocaccino > mocha > growl │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/146 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Critical │ Command Injection │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ growl │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ mochify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ mochify > mocha > growl │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/146 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install --save-dev [email protected] to resolve 5 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp > vinyl-fs > glob-stream > glob > minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/118 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp > vinyl-fs > glob-stream > minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/118 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp > vinyl-fs > glob-watcher > gaze > globule > glob > │ │ │ minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/118 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp > vinyl-fs > glob-watcher > gaze > globule > minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/118 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp > vinyl-fs > glob-watcher > gaze > globule > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/577 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install --save-dev [email protected] to resolve 3 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp-mocha [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp-mocha > mocha > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp-mocha [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp-mocha > mocha > glob > minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/118 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Critical │ Command Injection │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ growl │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp-mocha [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp-mocha > mocha > growl │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/146 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install --save-dev [email protected] to resolve 2 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Incorrect Handling of Non-Boolean Comparisons During │ │ │ Minification │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp-uglify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp-uglify > uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/39 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp-uglify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp-uglify > uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/48 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install --save-dev [email protected] to resolve 2 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Incorrect Handling of Non-Boolean Comparisons During │ │ │ Minification │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ uglify-js [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/39 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ uglify-js [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/48 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Critical │ Potential Command Injection │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ shell-quote │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.6.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp-browserify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp-browserify > browserify > shell-quote │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/117 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=3.0.2 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp-browserify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp-browserify > browserify > glob > minimatch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/118 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Incorrect Handling of Non-Boolean Comparisons During │ │ │ Minification │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 2.4.24 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp-browserify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp-browserify > browserify > umd > ruglify > uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/39 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp-browserify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp-browserify > browserify > umd > ruglify > uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/48 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ gulp-browserify [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ gulp-browserify > browserify > umd > uglify-js │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/48 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 23 vulnerabilities (11 low, 8 high, 4 critical) in 5094 scanned packages 18 vulnerabilities require semver-major dependency updates. 5 vulnerabilities require manual review. See the full report for details. ```

AI Analysis

This issue appears to be discussing a feature request or bug report related to the repository. Based on the content, it seems to be still under discussion. The issue was opened by chezearth and has received 4 comments.

Add a comment

Comment form would go here

npm audit returns 23 vulnerabilities (11 low, 8 high, 4 critical)#220