Install warnings
MasterJames opened this issue · comments
I got a couple of warnings about Sandbox breakout.
Just thought I should post it. I'm thinking there is a manual solution to upgrade static-eval to version >=2
Any advice or thoughts on if this is a concern, how to change the source dependency etc.
=== npm audit security report ===
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Sandbox Breakout / Arbitrary Code Execution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ static-eval │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=2.0.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ numjs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ numjs > cwise > static-module > static-eval │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/548 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Sandbox Breakout / Arbitrary Code Execution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ static-eval │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=2.0.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ numjs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ numjs > ndarray-fft > cwise > static-module > static-eval │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/548 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 2 moderate severity vulnerabilities in 272 scanned packages
2 vulnerabilities require manual review. See the full report for details.
https://nodesecurity.io/advisories/548
It's odd because it is that version 2.0.0 running an update made no change?