Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Vulnerabilities reported by npm audit #133

Open
ghost opened this issue Jul 6, 2018 · 5 comments
Open

Vulnerabilities reported by npm audit #133

ghost opened this issue Jul 6, 2018 · 5 comments

Comments

@ghost
Copy link

ghost commented Jul 6, 2018

npm audit shows for the latest version the following vulnerabilities:

                                                                                
┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ swagger-express-mw                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ swagger-express-mw > swagger-node-runner > bagpipes > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ swagger-express-mw                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ swagger-express-mw > swagger-node-runner > bagpipes >        │
│               │ machinepack-http > lodash                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ swagger-express-mw                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ swagger-express-mw > swagger-node-runner > bagpipes >        │
│               │ machinepack-http > machine > lodash                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ swagger-express-mw                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ swagger-express-mw > swagger-node-runner > bagpipes >        │
│               │ machinepack-http > machine > rttc > lodash                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ swagger-express-mw                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ swagger-express-mw > swagger-node-runner > bagpipes >        │
│               │ machinepack-http > machine > switchback > lodash             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ swagger-express-mw                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ swagger-express-mw > swagger-node-runner > bagpipes >        │
│               │ machinepack-http > machinepack-urls > lodash                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ swagger-express-mw                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ swagger-express-mw > swagger-node-runner > bagpipes >        │
│               │ machinepack-http > machinepack-urls > machine > lodash       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ swagger-express-mw                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ swagger-express-mw > swagger-node-runner > bagpipes >        │
│               │ machinepack-http > machinepack-urls > machine > rttc >       │
│               │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ swagger-express-mw                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ swagger-express-mw > swagger-node-runner > lodash            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nsp                                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nsp > cli-table2 > lodash                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.17.5                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ swagger-express-mw                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ swagger-express-mw > swagger-node-runner > bagpipes >        │
│               │ machinepack-http > machinepack-urls > machine > switchback > │
│               │ lodash                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/577                       │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ deep-extend                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=0.5.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ swagger-express-mw                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ swagger-express-mw > swagger-node-runner > sway >            │
│               │ json-schema-faker > deref > deep-extend                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/612                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

The following depencies are used:

├─┬ swagger-express-mw@0.7.0
│ └─┬ swagger-node-runner@0.7.3
│   ├── async@1.5.2
│   ├─┬ bagpipes@0.1.2
│   │ ├── async@1.5.2
│   │ ├── debug@2.6.9 deduped
│   │ ├── jspath@0.3.4
│   │ ├── lodash@3.10.1
│   │ ├─┬ machinepack-http@2.4.0
│   │ │ ├── lodash@3.10.1
│   │ │ ├─┬ machine@10.4.0
│   │ │ │ ├── convert-to-ecmascript-compatible-varname@0.1.5
│   │ │ │ ├── debug@2.6.9 deduped
│   │ │ │ ├── lodash@3.10.1
│   │ │ │ ├── object-hash@0.3.0
│   │ │ │ ├─┬ rttc@7.4.0
│   │ │ │ │ └── lodash@3.10.1
│   │ │ │ └─┬ switchback@2.0.2
│   │ │ │   └── lodash@3.10.1
│   │ │ ├─┬ machinepack-urls@4.1.0
│   │ │ │ ├── lodash@3.10.1
│   │ │ │ └─┬ machine@9.1.2
│   │ │ │   ├── convert-to-ecmascript-compatible-varname@0.1.5 deduped
│   │ │ │   ├── debug@2.6.9 deduped
│   │ │ │   ├── lodash@3.10.1 deduped
│   │ │ │   ├── object-hash@0.3.0 deduped
│   │ │ │   ├─┬ rttc@4.5.2
│   │ │ │   │ └── lodash@3.10.1 deduped
│   │ │ │   └─┬ switchback@1.1.3
│   │ │ │     └── lodash@2.4.2
│   │ │ └── request@2.87.0 deduped
│   │ ├── mustache@2.3.0
│   │ └── pipeworks@1.3.1
│   ├── body-parser@1.18.3 deduped
│   ├─┬ config@1.30.0
│   │ ├── json5@0.4.0
│   │ └── os-homedir@1.0.2
│   ├─┬ cors@2.8.4
│   │ ├── object-assign@4.1.1 deduped
│   │ └── vary@1.1.2 deduped
│   ├── debug@2.6.9 deduped
│   ├── js-yaml@3.12.0 deduped
│   ├── lodash@3.10.1
│   ├─┬ multer@1.3.1
│   │ ├── append-field@0.1.0
│   │ ├─┬ busboy@0.2.14
│   │ │ ├─┬ dicer@0.2.5
│   │ │ │ ├─┬ readable-stream@1.1.14
│   │ │ │ │ ├── core-util-is@1.0.2 deduped
│   │ │ │ │ ├── inherits@2.0.3 deduped
│   │ │ │ │ ├── isarray@0.0.1
│   │ │ │ │ └── string_decoder@0.10.31
│   │ │ │ └── streamsearch@0.1.2
│   │ │ └─┬ readable-stream@1.1.14
│   │ │   ├── core-util-is@1.0.2 deduped
│   │ │   ├── inherits@2.0.3 deduped
│   │ │   ├── isarray@0.0.1
│   │ │   └── string_decoder@0.10.31
│   │ ├── concat-stream@1.6.2 deduped
│   │ ├── mkdirp@0.5.1 deduped
│   │ ├── object-assign@3.0.0
│   │ ├── on-finished@2.3.0 deduped
│   │ ├── type-is@1.6.16 deduped
│   │ └── xtend@4.0.1 deduped
│   ├── parseurl@1.3.2 deduped
│   ├── qs@6.5.2 deduped
│   ├─┬ sway@1.0.0
│   │ ├── debug@2.6.9 deduped
│   │ ├── js-base64@2.4.5
│   │ ├── js-yaml@3.12.0 deduped
│   │ ├─┬ json-refs@2.1.7
│   │ │ ├── commander@2.16.0
│   │ │ ├─┬ graphlib@2.1.5
│   │ │ │ └── lodash@4.17.10 deduped
│   │ │ ├── js-yaml@3.12.0 deduped
│   │ │ ├── native-promise-only@0.8.1 deduped
│   │ │ ├─┬ path-loader@1.0.4
│   │ │ │ ├── native-promise-only@0.8.1 deduped
│   │ │ │ └─┬ superagent@3.8.3
│   │ │ │   ├── component-emitter@1.2.1 deduped
│   │ │ │   ├── cookiejar@2.1.2 deduped
│   │ │ │   ├─┬ debug@3.1.0
│   │ │ │   │ └── ms@2.0.0 deduped
│   │ │ │   ├── extend@3.0.1 deduped
│   │ │ │   ├─┬ form-data@2.3.2
│   │ │ │   │ ├── asynckit@0.4.0 deduped
│   │ │ │   │ ├── combined-stream@1.0.6 deduped
│   │ │ │   │ └── mime-types@2.1.18 deduped
│   │ │ │   ├── formidable@1.2.1 deduped
│   │ │ │   ├── methods@1.1.2 deduped
│   │ │ │   ├── mime@1.4.1 deduped
│   │ │ │   ├── qs@6.5.2 deduped
│   │ │ │   └── readable-stream@2.3.6 deduped
│   │ │ ├── slash@1.0.0
│   │ │ └─┬ uri-js@3.0.2
│   │ │   └── punycode@2.1.1
│   │ ├─┬ json-schema-faker@0.2.16
│   │ │ ├── chance@1.0.16
│   │ │ ├─┬ deref@0.6.4
│   │ │ │ └── deep-extend@0.4.2
│   │ │ ├── faker@3.1.0
│   │ │ └─┬ randexp@0.4.9
│   │ │   ├── drange@1.0.2
│   │ │   └── ret@0.2.2
│   │ ├── lodash@4.17.10 deduped
│   │ ├── native-promise-only@0.8.1
│   │ ├─┬ path-to-regexp@1.7.0
│   │ │ └── isarray@0.0.1
│   │ ├── swagger-methods@1.0.4
│   │ ├── swagger-schema-official@2.0.0-bab6bed
│   │ └─┬ z-schema@3.22.0
│   │   ├── commander@2.16.0 deduped
│   │   ├── lodash.get@4.4.2 deduped
│   │   ├── lodash.isequal@4.5.0
│   │   └── validator@10.4.0
│   └── type-is@1.6.16 deduped
@Nephos
Copy link

Nephos commented Aug 13, 2018

Hello,

Vulnerabilities, even low severity ones should not be ignored.
Furthermore, the patch should be quick, a simple update of lodash

@sscots
Copy link

sscots commented Aug 14, 2018
edited

👍 +1

@ethanempe
Copy link

👍 We are using this and ran into the same vulnerabilities.
Looks like _.where and _.findWhere need to be updated to use _.filter and _.find respectively.
Source: lodash/lodash#1773

@ylulloa
Copy link

ylulloa commented Aug 28, 2018

@ethanempe: what about a PR with that suggestion? :)

ps1dr3x pushed a commit to ps1dr3x/swagger-node-runner that referenced this issue Oct 25, 2018
Updated lodash and replaced a deprecated function call. This fixes th…
fbc8b9d 
…e non-recognition of async callbacks in Runner.create function lodash/lodash#2768 and a prototype pollution vulnerability patched in lodash >=4.17.5 apigee-127#133
ps1dr3x added a commit to ps1dr3x/swagger-node-runner that referenced this issue Oct 25, 2018
@ps1dr3x
Updated lodash and replaced a deprecated function call. This fixes th…
978ea21 
…e non-recognition of async callbacks in Runner.create function lodash/lodash#2768 and a prototype pollution vulnerability patched in lodash >=4.17.5 apigee-127#133
ps1dr3x added a commit to ps1dr3x/swagger-node-runner that referenced this issue Oct 25, 2018
@ps1dr3x
Updated lodash and replaced a deprecated function call. This fixes th…
4af26bf 
…e non-recognition of async callbacks in Runner.create function lodash/lodash#2768 and a prototype pollution vulnerability patched in lodash >=4.17.5 apigee-127#133
@ps1dr3x ps1dr3x mentioned this issue Oct 25, 2018
Open
@plaa
Copy link

plaa commented May 6, 2020

As this package seems to be abandoned, I created forked versions of swagger-express-mw, swapper-node-runner and bagpipes which fix all but one minor vulnerability (blocked by #137). I don't plan on maintaining them other than possible occasional lib updates.

You can use patched libs you need by:

"swagger-express-mw": "Vincit/swagger-express#026b9527ebb8402db20bc479ed21e4047f1c45ba",
"swagger-node-runner": "Vincit/swagger-node-runner#427d0a4c43599de4aa03e2b3a359847b1b75cf84"
"bagpipes": "Vincit/bagpipes#b2eb059ba6f87c9185a83646fe5bac48288ccea4",

(I always recommend using commit-id locked versions when referring directly to Github repositories.)

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
5 participants
@ylulloa @Nephos @plaa @ethanempe @sscots