=== npm audit security report === # Run npm install webpack-dev-server@4.11.1 to resolve 7 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Open Redirect in node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ webpack-dev-server │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ webpack-dev-server > selfsigned > node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-8fr3-hfg3-gpgp │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Prototype Pollution in node-forge debug API. │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ webpack-dev-server │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ webpack-dev-server > selfsigned > node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-5rrq-pxf6-6jx5 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Improper Verification of Cryptographic Signature in │ │ │ `node-forge` │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ webpack-dev-server │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ webpack-dev-server > selfsigned > node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-2r2c-g63r-vccr │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Improper Verification of Cryptographic Signature in │ │ │ node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ webpack-dev-server │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ webpack-dev-server > selfsigned > node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-x4jg-mjrx-434g │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Improper Verification of Cryptographic Signature in │ │ │ node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ webpack-dev-server │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ webpack-dev-server > selfsigned > node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-cfm4-qjh2-4765 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ URL parsing in node-forge could lead to undesired behavior. │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ webpack-dev-server │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ webpack-dev-server > selfsigned > node-forge │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-gf8q-jrpm-jvxq │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ glob-parent before 5.1.2 vulnerable to Regular Expression │ │ │ Denial of Service in enclosure regex │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ glob-parent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ webpack-dev-server │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ webpack-dev-server > chokidar > glob-parent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-ww39-953v-wcq6 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install react-dev-utils@12.0.1 to resolve 7 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Critical │ Prototype Pollution in immer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ immer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ react-dev-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ react-dev-utils > immer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-33f9-j839-rf8h │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Critical │ Improper Neutralization of Special Elements used in a │ │ │ Command in Shell-quote │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ shell-quote │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ react-dev-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ react-dev-utils > shell-quote │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-g4rg-993r-mgx7 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ glob-parent before 5.1.2 vulnerable to Regular Expression │ │ │ Denial of Service in enclosure regex │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ glob-parent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ react-dev-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ react-dev-utils > fork-ts-checker-webpack-plugin > chokidar │ │ │ > glob-parent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-ww39-953v-wcq6 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ react-dev-utils OS Command Injection in function │ │ │ `getProcessForPort` │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ react-dev-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ react-dev-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ react-dev-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-5q6m-3h65-w53x │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Regular Expression Denial of Service in browserslist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ browserslist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ react-dev-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ react-dev-utils > browserslist │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-w8qv-6jwh-64r5 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution in immer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ immer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ react-dev-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ react-dev-utils > immer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-9qmh-276g-x5pj │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution in immer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ immer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ react-dev-utils │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ react-dev-utils > immer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-c36v-fmgq-m8hx │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install --save-dev node-sass@7.0.3 to resolve 8 vulnerabilities SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Creation/Overwrite on Windows via │ │ │ insufficient relative path sanitization │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ node-sass [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ node-sass > node-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-5955-9wpr-37jh │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Creation/Overwrite via insufficient symlink │ │ │ protection due to directory cache poisoning using symbolic │ │ │ links │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ node-sass [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ node-sass > node-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-qq89-hq3f-393p │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Creation/Overwrite via insufficient symlink │ │ │ protection due to directory cache poisoning using symbolic │ │ │ links │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ node-sass [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ node-sass > node-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-9r2w-394v-53qc │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Creation/Overwrite due to insufficient │ │ │ absolute path sanitization │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ node-sass [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ node-sass > node-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-3jfq-g458-7qm9 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Uncontrolled Resource Consumption in trim-newlines │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ trim-newlines │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ node-sass [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ node-sass > meow > trim-newlines │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-7p7h-4mm5-852v │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Creation/Overwrite via insufficient symlink │ │ │ protection due to directory cache poisoning │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ node-sass [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ node-sass > node-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-r628-mhmh-qjhw │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Improper Certificate Validation in node-sass │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-sass │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ node-sass [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ node-sass │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-r8f7-9pfq-mjmv │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular expression denial of service in scss-tokenizer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ scss-tokenizer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ node-sass [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ node-sass > sass-graph > scss-tokenizer │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-7mwh-4pqv-wmr8 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install @svgr/webpack@6.3.1 to resolve 1 vulnerability SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Inefficient Regular Expression Complexity in nth-check │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ nth-check │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @svgr/webpack │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @svgr/webpack > @svgr/plugin-svgo > svgo > css-select > │ │ │ nth-check │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-rp65-9cf3-cjxr │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install optimize-css-assets-webpack-plugin@6.0.1 to resolve 1 vulnerability SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Inefficient Regular Expression Complexity in nth-check │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ nth-check │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ optimize-css-assets-webpack-plugin │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ optimize-css-assets-webpack-plugin > cssnano > │ │ │ cssnano-preset-default > postcss-svgo > svgo > css-select > │ │ │ nth-check │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-rp65-9cf3-cjxr │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install webpack@5.74.0 to resolve 1 vulnerability SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ glob-parent before 5.1.2 vulnerable to Regular Expression │ │ │ Denial of Service in enclosure regex │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ glob-parent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ webpack │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ webpack > watchpack > watchpack-chokidar2 > chokidar > │ │ │ glob-parent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-ww39-953v-wcq6 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm update shell-quote --depth 5 to resolve 2 vulnerabilities ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Critical │ Improper Neutralization of Special Elements used in a │ │ │ Command in Shell-quote │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ shell-quote │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ cypress-cucumber-preprocessor [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ cypress-cucumber-preprocessor > │ │ │ @cypress/browserify-preprocessor > browserify > shell-quote │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-g4rg-993r-mgx7 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Critical │ Improper Neutralization of Special Elements used in a │ │ │ Command in Shell-quote │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ shell-quote │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ cypress-cucumber-preprocessor [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ cypress-cucumber-preprocessor > │ │ │ @cypress/browserify-preprocessor > watchify > browserify > │ │ │ shell-quote │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-g4rg-993r-mgx7 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 27 vulnerabilities (2 low, 5 moderate, 16 high, 4 critical) in 2727 scanned packages run `npm audit fix` to fix 2 of them. 25 vulnerabilities require semver-major dependency updates.