Security: 4 dependency vulnerabilities reported by npm (Electron ones are critical/high severity)
aral opened this issue · comments
npm audit
results below:
=== npm audit security report ===
# Run npm install electron@2.0.2 to resolve 3 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Chromium Remote Code Execution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ electron │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ electron │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ electron │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/539 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Code Execution by Re-enabling Node.js integration │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ electron │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ electron │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ electron │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/574 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Critical │ Remote Code Execution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ electron │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ electron │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ electron │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/563 │
└───────────────┴──────────────────────────────────────────────────────────────┘
# Run npm install sheetify@7.3.2 to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Sandbox Breakout / Arbitrary Code Execution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ static-eval │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ sheetify │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ sheetify > static-eval │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/548 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 4 vulnerabilities (1 moderate, 2 high, 1 critical) in 1500 scanned packages
4 vulnerabilities require semver-major dependency updates.