`npm audit` in {rWPOR} reports 211 vulnerabilities, of which 11 are high. (7 low, `--fix` would fix just one of them.
Filing Task because this repo1 moderate, unlike others, heavily depends on npm/node/gulp to work, and upgrading the npm dependencies has been a bit problematic in the past3 high).
**This task involves running `npm audit --fix` ** to fix 7 of them.
The remaining 4 packages should be reviewed to see if they can be updated manually.
Results:
```name="npm audit", lines=20
```
[maurelio@ubuntu portals](master)$ npm audit
=== npm audit security report ===
# Run npm update bl --depth 7install --save-dev bundlesize@0.18.1 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Remote Memory Exposure Server-Side Request Forgery │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ bl axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ bundlesize [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ bundlesize > brotli-size > iltorb > prebuild-install > │
│ │ tar-fs > tar-stream > blaxios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.comodesecurity.io/advisories/1555 594 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘# Run npm update ini --depth 8 to resolve 5 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate│ Low │ Denial of Service Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ js-yamlini │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.13.0 │ Dependency of │ bundlesize [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-cssnano [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤Path │ bundlesize > brotli-size > iltorb > prebuild-install > rc > │
│ Path│ │ gulp-cssnano > cssnano > postcss-svgo > svgo > js-yamlini │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.comodesecurity.io/advisories/788 1589 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High│ Low │ Code InjecPrototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ js-yamlini │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.13.1 │ Dependency of │ gulp [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-cssnano [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤Path │ gulp > gulp-cli > liftoff > findup-sync > resolve-dir > │
│ Path│ │ gulp-cssnano > cssnano > postcss-svgo > svgo > js-yamllobal-modules > global-prefix > ini │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.comodesecurity.io/advisories/813 1589 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.2.1 <1.0.0 || >=1.2.3ini │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ gulp > glob-watcher > chokidargulp-cli > matchdep > fsevents > node-pre-gyp >indup-sync > resolve-dir > │
│ │ mkdirp > minimist global-modules > global-prefix > ini │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.comodesecurity.io/advisories/1179 589 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimistini │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.2.1 <1.0.0 || >=1.2.3│ Dependency of │ gulp-load-plugins [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤Path │ gulp-load-plugins > findup-sync > resolve-dir > │
│ Path │ gulp > glob-watcher > chokidar > fsevents > node-pre-gyp > │
│ │ tar > mkdirp > minimist │ global-modules > global-prefix > ini │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.comodesecurity.io/advisories/1179 589 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.2.1 <1.0.0 || >=1.2.3ini │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp [dev] stylelint-config-wikimedia [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ gulp > glob-watcher > chokidar > fsevents > node-pre-gyp >stylelint-config-wikimedia > stylelint > global-modules > │
│ │ rc > minimist global-prefix > ini │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.comodesecurity.io/advisories/1179 589 │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm update github-build --depth 2 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist High │ Server-Side Request Forgery │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched inckage │ >=0.2.1 <1.0.0 || >=1.2.3axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-svg-spritbundlesize [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ gulp-svg-spritbundlesize > svg-sprite > mocha > mkdirp > minimistgithub-build > axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.comodesecurity.io/advisories/1179 1594 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.2.1 <1.0.0 || >=1.2.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-svg-sprite [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ gulp-svg-sprite > svg-sprite > phantomjs-prebuilt >│ Manual Review │
│ │ extract-zip > mkdirp > minimist Some vulnerabilities require your attention to resolve │
├───────────────┼──────────────────────────────────────────────────────────────┤│ │
│ More info ││ Visit https://npmjs.com/advisories/1179 go.npm.me/audit-guide for additional guidance │
└───────────────┴───────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Moderate │ Prototype PollutionDenial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimistjs-yaml │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.2.1 <1.0.0 || >=1.2.3=3.13.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-svg2pngcssnano [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ gulp-svg2png > svg2png > phantomjs-prebuilt > extract-zip > │
│ │ mkdirp > minimist cssnano > cssnano > postcss-svgo > svgo > js-yaml │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.comodesecurity.io/advisories/1179 788 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ High │ Prototype PolluCode Injection │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ yargs-parserjs-yaml │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2=3.13.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp [dev] -cssnano [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ gulp > gulp-cli > yargs > yargs-parser -cssnano > cssnano > postcss-svgo > svgo > js-yaml │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.comodesecurity.io/advisories/1500 813 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ yargs-parserminimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=13.1.2 <14.0.0 || >=15.0=0.2.1 <16.0.0 || >=18.1.2.2.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-svg-sprite [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ gulp-svg-sprite > svg-sprite > yargs > yargs-parser mocha > mkdirp > minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.comodesecurity.io/advisories/1500 179 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ yargs-parser │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp-svg2png [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ gulp-svg2png > svg2png > yargs > yargs-parser │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1500 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Remote Memory Exposure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.2.3 <2.0.0 || >=2.2.1 <3.0.0 || >=3.0.1 <4.0.0 || │
│ │ >=4.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pngquant-bin [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ pngquant-bin > bin-build > decompress > decompress-tar > │
│ │ tar-stream > bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1555 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Remote Memory Exposure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.2.3 <2.0.0 || >=2.2.1 <3.0.0 || >=3.0.1 <4.0.0 || │
│ │ >=4.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pngquant-bin [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ pngquant-bin > bin-build > download > decompress > │
│ │ decompress-tar > tar-stream > bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1555 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Remote Memory Exposure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.2.3 <2.0.0 || >=2.2.1 <3.0.0 || >=3.0.1 <4.0.0 || │
│ │ >=4.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pngquant-bin [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ pngquant-bin > bin-wrapper > download > decompress > │
│ │ decompress-tar > tar-stream > bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1555 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Remote Memory Exposure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.2.3 <2.0.0 || >=2.2.1 <3.0.0 || >=3.0.1 <4.0.0 || │
│ │ >=4.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pngquant-bin [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ pngquant-bin > bin-build > decompress > decompress-tarbz2 > │
│ │ decompress-tar > tar-stream > bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1555 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Remote Memory Exposure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.2.3 <2.0.0 || >=2.2.1 <3.0.0 || >=3.0.1 <4.0.0 || │
│ │ >=4.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pngquant-bin [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ pngquant-bin > bin-build > download > decompress > │
│ │ decompress-tarbz2 > decompress-tar > tar-stream > bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1555 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Remote Memory Exposure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.2.3 <2.0.0 || >=2.2.1 <3.0.0 || >=3.0.1 <4.0.0 || │
│ │ >=4.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pngquant-bin [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ pngquant-bin > bin-wrapper > download > decompress > │
│ │ decompress-tarbz2 > decompress-tar > tar-stream > bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1555 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Remote Memory Exposure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.2.3 <2.0.0 || >=2.2.1 <3.0.0 || >=3.0.1 <4.0.0 || │
│ │ >=4.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pngquant-bin [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ pngquant-bin > bin-build > decompress > decompress-targz > │
│ │ decompress-tar > tar-stream > bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1555 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Remote Memory Exposure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.2.3 <2.0.0 || >=2.2.1 <3.0.0 || >=3.0.1 <4.0.0 || │
│ │ >=4.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pngquant-bin [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ pngquant-bin > bin-build > download > decompress > │
│ │ decompress-targz > decompress-tar > tar-stream > bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/1555 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Remote Memory Exposure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ bl │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.2.3 <2.0.0 || >=2.2.1 <3.0.0 || >=3.0.1 <4.0.0 || │
│ │ >=4.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ pngquant-bin [dev] ││ Dependency of │ gulp-svg-sprite [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ pngquant-bin > bin-wrapper > download > decompress > │
│ │ decompress-targz > decompress-tar > tar-stream > blgulp-svg-sprite > svg-sprite > yargs > yargs-parser │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.comodesecurity.io/advisories/1555 500 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 211 vulnerabilities (97 low, 1 moderate, 113 high) in 21531735 scanned packages
run `npm audit fix` to fix 1 of them.
20 vulnerabilities require manual review. See the full report for details.
```