High vulnerabilities found in the project

[danychi]

There are currently a few high vulnerabilities in the project. This is the report that you get after an audit to find moderate/high/critical vulnerabilities:

> yarn audit --level moderate

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Server-Side Request Forgery                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ axios                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=0.21.1                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ storyblok-js-client                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ storyblok-js-client > axios                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1594                        │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.3.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nuxt-module-builder                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nuxt-module-builder > rollup-plugin-node-builtins >          │
│               │ browserify-fs > levelup > semver                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/31                          │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ Memory Exposure                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ bl                                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=0.9.5 <1.0.0 || >=1.0.1                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nuxt-module-builder                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nuxt-module-builder > rollup-plugin-node-builtins >          │
│               │ browserify-fs > levelup > bl                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/596                         │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Remote Memory Exposure                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ bl                                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=1.2.3 <2.0.0 || >=2.2.1 <3.0.0 || >=3.0.1 <4.0.0 ||        │
│               │ >=4.0.3                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nuxt-module-builder                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nuxt-module-builder > rollup-plugin-node-builtins >          │
│               │ browserify-fs > levelup > bl                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1555                        │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ dot-prop                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.2.1 <5.0.0 || >=5.1.1                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nuxt-module-builder                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nuxt-module-builder > standard-version >                     │
│               │ conventional-changelog > conventional-changelog-angular >    │
│               │ compare-func > dot-prop                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1213                        │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ dot-prop                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.2.1 <5.0.0 || >=5.1.1                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nuxt-module-builder                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nuxt-module-builder > standard-version >                     │
│               │ conventional-changelog > conventional-changelog-core >       │
│               │ conventional-changelog-writer > compare-func > dot-prop      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1213                        │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ dot-prop                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.2.1 <5.0.0 || >=5.1.1                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nuxt-module-builder                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nuxt-module-builder > standard-version >                     │
│               │ conventional-changelog > conventional-changelog-jshint >     │
│               │ compare-func > dot-prop                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1213                        │
└───────────────┴──────────────────────────────────────────────────────────────┘

[daguitosama]

My dependabot alerts are ringing too for this precise vulnerability

[kendalled]

I would also like to know the progress of this issue.

[jorgemartins-uon]

Also following the progress on this issue. Could we have a look into upgrading the dependencies to fix security vulnerabilities?

[larzon83]

+1

[vonbyte]

How far are we with the integration of that pull request?
I'd really like to see at least the "high" vulnerability fixed

[jorgemartins-uon]

+1

[flozero]

Here is the answer of @emanuelgsouza on my PR.

Hey @f3ltron , thank you for this amazing Pull Request. We would like to communicate that we are working to launch the next version of the storyblok-js-client in a few days. So, we will wait for this release to update our plugin packages.

About your Pull Request, the tests are failing. Therefore, we suggest you to use the Getting Started repository that contains some useful simple examples. You can use the Nuxt Example (with the preview token and some data) to integration tests.

Thank you again.

[Bergrebell]

+1

[alvarosabu]

Latest audit

yarn audit --level moderate

0 vulnerabilities found - Packages audited: 568

Is this still relevant? I think we can close it and open specific issues if there are further vulnerabilities