Uploaded image for project: 'Magnolia CLI npm module '
  1. Magnolia CLI npm module
  2. NPMCLI-223

Several security vulnerabilities (3 moderate, 4 high) in unreleased 3.1

    Details

    • Type: Bug
    • Status: Closed
    • Priority: Neutral
    • Resolution: Fixed
    • Affects Version/s: None
    • Fix Version/s: 3.1
    • Labels:
      None
    • Sprint:
      6.1 Release Sprint
    • Story Points:
      2

      Description

                             === npm audit security report ===                        
                                                                                      
      # Run  npm install tar@4.4.10  to resolve 2 vulnerabilities
      SEMVER WARNING: Recommended action is a potentially breaking change
      ┌───────────────┬──────────────────────────────────────────────────────────────┐
      │ High          │ Arbitrary File Overwrite                                     │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Package       │ tar                                                          │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Dependency of │ tar                                                          │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Path          │ tar                                                          │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ More info     │ https://npmjs.com/advisories/803                             │
      └───────────────┴──────────────────────────────────────────────────────────────┘
      
      
      ┌───────────────┬──────────────────────────────────────────────────────────────┐
      │ High          │ Arbitrary File Overwrite                                     │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Package       │ fstream                                                      │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Dependency of │ tar                                                          │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Path          │ tar > fstream                                                │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ More info     │ https://npmjs.com/advisories/886                             │
      └───────────────┴──────────────────────────────────────────────────────────────┘
      
      
      # Run  npm install i18next-sync-fs-backend@1.1.1  to resolve 2 vulnerabilities
      ┌───────────────┬──────────────────────────────────────────────────────────────┐
      │ Moderate      │ Denial of Service                                            │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Package       │ js-yaml                                                      │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Dependency of │ i18next-sync-fs-backend                                      │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Path          │ i18next-sync-fs-backend > js-yaml                            │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ More info     │ https://npmjs.com/advisories/788                             │
      └───────────────┴──────────────────────────────────────────────────────────────┘
      
      
      ┌───────────────┬──────────────────────────────────────────────────────────────┐
      │ High          │ Code Injection                                               │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Package       │ js-yaml                                                      │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Dependency of │ i18next-sync-fs-backend                                      │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Path          │ i18next-sync-fs-backend > js-yaml                            │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ More info     │ https://npmjs.com/advisories/813                             │
      └───────────────┴──────────────────────────────────────────────────────────────┘
      
      
      # Run  npm install axios@0.19.0  to resolve 1 vulnerability
      ┌───────────────┬──────────────────────────────────────────────────────────────┐
      │ Moderate      │ Denial of Service                                            │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Package       │ axios                                                        │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Dependency of │ axios                                                        │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Path          │ axios                                                        │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ More info     │ https://npmjs.com/advisories/880                             │
      └───────────────┴──────────────────────────────────────────────────────────────┘
      
      
      # Run  npm update js-yaml --depth 3  to resolve 2 vulnerabilities
      ┌───────────────┬──────────────────────────────────────────────────────────────┐
      │ Moderate      │ Denial of Service                                            │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Package       │ js-yaml                                                      │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Dependency of │ standard                                                     │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Path          │ standard > eslint > js-yaml                                  │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ More info     │ https://npmjs.com/advisories/788                             │
      └───────────────┴──────────────────────────────────────────────────────────────┘
      
      
      ┌───────────────┬──────────────────────────────────────────────────────────────┐
      │ High          │ Code Injection                                               │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Package       │ js-yaml                                                      │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Dependency of │ standard                                                     │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ Path          │ standard > eslint > js-yaml                                  │
      ├───────────────┼──────────────────────────────────────────────────────────────┤
      │ More info     │ https://npmjs.com/advisories/813                             │
      └───────────────┴──────────────────────────────────────────────────────────────┘
      

        Attachments

          Activity

            People

            • Assignee:
              mdivilek Milan Divilek
              Reporter:
              mdivilek Milan Divilek
            • Votes:
              0 Vote for this issue
              Watchers:
              2 Start watching this issue

              Dates

              • Created:
                Updated:
                Resolved: