Fix audit vulnerabilities #304

tdroxler · 2024-01-17T14:11:16Z

This fixes the following vulnerabilities:

 ┌─────────────────────┬────────────────────────────────────────────────────────────────────────────────────────────────────────┐
│ critical            │ crypto-js PBKDF2 1,000 times weaker than specified in 1993 and 1.3M times weaker than current standard │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Package             │ crypto-js                                                                                              │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <4.2.0                                                                                                 │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.2.0                                                                                                │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-xwcq-pm8m-c4vf                                                      │
└─────────────────────┴────────────────────────────────────────────────────────────────────────────────────────────────────────┘
┌─────────────────────┬─────────────────────────────────────────────────────────────────────────────────────────────────┐
│ critical            │ Babel vulnerable to arbitrary code execution when compiling specifically crafted malicious code │
├─────────────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Package             │ @babel/traverse                                                                                 │
├─────────────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <7.23.2                                                                                         │
├─────────────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────┤
│ Patched versions    │ >=7.23.2                                                                                        │
├─────────────────────┼─────────────────────────────────────────────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-67hx-6x53-jw92                                               │
└─────────────────────┴─────────────────────────────────────────────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────────────────────────────────────────┐
│ high                │ browserify-sign upper bound check issue in `dsaVerify` leads to a signature forgery attack │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────┤
│ Package             │ browserify-sign                                                                            │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=2.6.0 <=4.2.1                                                                            │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.2.2                                                                                    │
├─────────────────────┼────────────────────────────────────────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-x9w5-v3q2-3rhw                                          │
└─────────────────────┴────────────────────────────────────────────────────────────────────────────────────────────┘
┌─────────────────────┬───────────────────────────────────────────────────┐
│ moderate            │ PostCSS line return parsing error                 │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Package             │ postcss                                           │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Vulnerable versions │ <8.4.31                                           │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Patched versions    │ >=8.4.31                                          │
├─────────────────────┼───────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-7fh5-64p2-3v2j │
└─────────────────────┴───────────────────────────────────────────────────┘
┌─────────────────────┬───────────────────────────────────────────────────┐
│ moderate            │ Axios Cross-Site Request Forgery Vulnerability    │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Package             │ axios                                             │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Vulnerable versions │ >=0.8.1 <1.6.0                                    │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Patched versions    │ >=1.6.0                                           │
├─────────────────────┼───────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │
└─────────────────────┴───────────────────────────────────────────────────┘
┌─────────────────────┬──────────────────────────────────────────────────────────────┐
│ moderate            │ word-wrap vulnerable to Regular Expression Denial of Service │
├─────────────────────┼──────────────────────────────────────────────────────────────┤
│ Package             │ word-wrap                                                    │
├─────────────────────┼──────────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <1.2.4                                                       │
├─────────────────────┼──────────────────────────────────────────────────────────────┤
│ Patched versions    │ >=1.2.4                                                      │
├─────────────────────┼──────────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-j8xg-fqg3-53r7            │
└─────────────────────┴──────────────────────────────────────────────────────────────┘
┌─────────────────────┬───────────────────────────────────────────────────────────┐
│ moderate            │ semver vulnerable to Regular Expression Denial of Service │
├─────────────────────┼───────────────────────────────────────────────────────────┤
│ Package             │ semver                                                    │
├─────────────────────┼───────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=7.0.0 <7.5.2                                            │
├─────────────────────┼───────────────────────────────────────────────────────────┤
│ Patched versions    │ >=7.5.2                                                   │
├─────────────────────┼───────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-c2qf-rxjj-qqgw         │
└─────────────────────┴───────────────────────────────────────────────────────────┘
┌─────────────────────┬──────────────────────────────────────────────────────────────────────┐
│ moderate            │ Follow Redirects improperly handles URLs in the url.parse() function │
├─────────────────────┼──────────────────────────────────────────────────────────────────────┤
│ Package             │ follow-redirects                                                     │
├─────────────────────┼──────────────────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <1.15.4                                                              │
├─────────────────────┼──────────────────────────────────────────────────────────────────────┤
│ Patched versions    │ >=1.15.4                                                             │
├─────────────────────┼──────────────────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-jchw-25xp-jwwc                    │
└─────────────────────┴──────────────────────────────────────────────────────────────────────┘
9 vulnerabilities found
Severity: 5 moderate | 1 high | 3 critical
Error: Process completed with exit code 1.

polarker · 2024-01-17T14:56:25Z

package.json

+      "browserify-sign": "4.2.2",
+      "axios": "1.6.0",
+      "word-wrap": "1.2.4",
+      "follow-redirects": "1.15.4"


maybe we should use >=x.y.z instead of a fixed version so it's more forward-compatible.

tdroxler force-pushed the fix-audit branch 3 times, most recently from 3bf48c2 to 188da1f Compare January 17, 2024 14:34

Fix audit vulnerabilities

326dc6f

tdroxler force-pushed the fix-audit branch from f35d954 to 326dc6f Compare January 17, 2024 14:48

tdroxler changed the title ~~CI test~~ Fix audit vulnerabilities Jan 17, 2024

tdroxler requested a review from polarker January 17, 2024 14:53

polarker reviewed Jan 17, 2024

View reviewed changes

Use forward-compatible versions

8cfba3c

polarker merged commit d7f4c3a into master Jan 17, 2024
8 checks passed

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Fix audit vulnerabilities #304

Fix audit vulnerabilities #304

tdroxler commented Jan 17, 2024 •

edited

Loading

polarker Jan 17, 2024

Fix audit vulnerabilities #304

Fix audit vulnerabilities #304

Conversation

tdroxler commented Jan 17, 2024 • edited Loading

polarker Jan 17, 2024

Choose a reason for hiding this comment

tdroxler commented Jan 17, 2024 •

edited

Loading