You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Currently (release 0.0.30) the package.json lists some dependencies that are only needed for development of ng-token-auth, but not for using this package.
When using the audit logic of a package manager like npm, this leads to a lot of wrong positives.
This happens when installing the package into an empty project:
$ npm add ng-token-auth --latest
+ ng-token-auth@0.0.30
added 91 packages from 73 contributors and audited 122 packages in 4.677s
found 43 vulnerabilities (11 low, 20 moderate, 12 high)
run `npm audit fix` to fix them, or `npm audit`for details
The audit log shows the dependencies and their respective dependencies:
npm audit
$ npm audit
=== npm audit security report ===
# Run npm update debug --depth 5 to resolve 1 vulnerability
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ debug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > connect-timeout > debug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/534 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ No Charset in Content-Type Header │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ express │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.11 <4 ||>=4.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/8 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Denial-of-Service Extended Event Loop Blocking │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 1.x │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/28 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Denial-of-Service Extended Event Loop Blocking │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 1.x │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > request > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/28 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Denial-of-Service Memory Exhaustion │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 1.x │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/29 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Denial-of-Service Memory Exhaustion │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 1.x │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > request > qs │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/29 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Directory Traversal │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ send │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 0.8.4 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > serve-static > send │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/32 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Directory Traversal │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ send │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 0.8.4 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > send │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/32 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Root Path Disclosure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ send │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.11.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > serve-static > send │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/56 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Root Path Disclosure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ send │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.11.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > send │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/56 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Cross-Site Scripting │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ serve-index │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.6.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > serve-index │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/34 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Open Redirect │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ serve-static │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ ~1.6.5 ||>=1.7.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > serve-static │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/35 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hawk │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.1.3 < 4.0.0 ||>=4.1.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > request > hawk │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/77 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ negotiator │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 0.6.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > compression > negotiator │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/106 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ negotiator │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 0.6.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > serve-index > negotiator │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/106 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Timing Attack │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ cookie-signature │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.0.6 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > cookie-parser > │
│ │ cookie-signature │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/134 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Timing Attack │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ cookie-signature │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.0.6 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > cookie-signature │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/134 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Timing Attack │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ cookie-signature │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.0.6 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > express-session > │
│ │ cookie-signature │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/134 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Timing Attack │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ cookie-signature │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.0.6 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > cookie-signature │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/134 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Remote Memory Exposure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=2.68.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > request │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/309 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 0.5.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/526 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 0.5.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > serve-static > send > │
│ │ fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/526 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 0.5.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > send > fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/526 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 0.5.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > fresh │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/526 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ debug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 2.6.9 < 3.0.0 ||>= 3.1.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > debug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/534 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ debug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 2.6.9 < 3.0.0 ||>= 3.1.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > debug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/534 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ debug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 2.6.9 < 3.0.0 ||>= 3.1.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > express-session > debug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/534 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ debug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 2.6.9 < 3.0.0 ||>= 3.1.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > serve-static > send > │
│ │ debug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/534 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ debug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 2.6.9 < 3.0.0 ||>= 3.1.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > send > debug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/534 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ mime │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 1.4.1 < 2.0.0 ||>= 2.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > serve-static > send > │
│ │ mime │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/535 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ mime │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 1.4.1 < 2.0.0 ||>= 2.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > send > mime │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/535 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ mime │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 1.4.1 < 2.0.0 ||>= 2.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > request > form-data > mime │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/535 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ mime │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >= 1.4.1 < 2.0.0 ||>= 2.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > request > mime │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/535 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ method-override │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 1.0.2 < 2.0.0 ||>= 2.3.10 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > method-override │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/538 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 ||>= 5.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > request > hawk > boom > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 ||>= 5.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > request > hawk > cryptiles > boom > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 ||>= 5.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > request > hawk > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ > 4.2.0 < 5.0.0 ||>= 5.0.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > request > hawk > sntp > hoek │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/566 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Memory Exposure │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tunnel-agent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.6.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > request > tunnel-agent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/598 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Code Injection │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ morgan │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.9.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > express > connect > morgan │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/736 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ underscore.string │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.3.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > js-yaml > argparse > underscore.string │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/745 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ js-yaml │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.13.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > js-yaml │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/788 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Code Injection │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ js-yaml │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.13.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ng-token-auth │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ng-token-auth > js-yaml │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/813 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 43 vulnerabilities (11 low, 20 moderate, 12 high) in 122 scanned packages
run `npm audit fix` to fix 1 of them.
42 vulnerabilities require manual review. See the full report for details.
Proposal
@booleanbetrayal you added a commit to the master branch that fixes these dependencies: 4ec3bdc
Unfortunately there has been no release since then.
Could you please create a new release (maybe 0.0.31) to publish this fix?
The text was updated successfully, but these errors were encountered:
Problem
Currently (release 0.0.30) the
package.jsonlists some dependencies that are only needed for development ofng-token-auth, but not for using this package.When using the audit logic of a package manager like npm, this leads to a lot of wrong positives.
This happens when installing the package into an empty project:
The audit log shows the
dependenciesand their respective dependencies:npm audit
$ npm audit === npm audit security report === # Run npm update debug --depth 5 to resolve 1 vulnerability ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > connect-timeout > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ No Charset in Content-Type Header │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ express │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=3.11 <4 || >=4.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/8 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Denial-of-Service Extended Event Loop Blocking │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 1.x │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/28 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Denial-of-Service Extended Event Loop Blocking │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 1.x │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > request > qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/28 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Denial-of-Service Memory Exhaustion │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 1.x │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/29 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Denial-of-Service Memory Exhaustion │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 1.x │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > request > qs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/29 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Directory Traversal │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ send │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 0.8.4 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > serve-static > send │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/32 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Directory Traversal │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ send │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 0.8.4 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > send │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/32 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Root Path Disclosure │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ send │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.11.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > serve-static > send │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/56 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Root Path Disclosure │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ send │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.11.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > send │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/56 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Cross-Site Scripting │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ serve-index │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.6.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > serve-index │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/34 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Open Redirect │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ serve-static │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ ~1.6.5 || >=1.7.2 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > serve-static │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/35 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ hawk │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=3.1.3 < 4.0.0 || >=4.1.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > request > hawk │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/77 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ negotiator │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 0.6.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > compression > negotiator │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/106 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ negotiator │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 0.6.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > serve-index > negotiator │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/106 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Timing Attack │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ cookie-signature │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.0.6 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > cookie-parser > │ │ │ cookie-signature │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/134 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Timing Attack │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ cookie-signature │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.0.6 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > cookie-signature │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/134 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Timing Attack │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ cookie-signature │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.0.6 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > express-session > │ │ │ cookie-signature │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/134 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Timing Attack │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ cookie-signature │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.0.6 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > cookie-signature │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/134 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Remote Memory Exposure │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.68.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > request │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/309 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fresh │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 0.5.2 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > fresh │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/526 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fresh │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 0.5.2 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > serve-static > send > │ │ │ fresh │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/526 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fresh │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 0.5.2 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > send > fresh │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/526 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fresh │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 0.5.2 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > fresh │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/526 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 2.6.9 < 3.0.0 || >= 3.1.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 2.6.9 < 3.0.0 || >= 3.1.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 2.6.9 < 3.0.0 || >= 3.1.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > express-session > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 2.6.9 < 3.0.0 || >= 3.1.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > serve-static > send > │ │ │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 2.6.9 < 3.0.0 || >= 3.1.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > send > debug │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/534 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 1.4.1 < 2.0.0 || >= 2.0.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > serve-static > send > │ │ │ mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/535 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 1.4.1 < 2.0.0 || >= 2.0.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > send > mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/535 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 1.4.1 < 2.0.0 || >= 2.0.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > request > form-data > mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/535 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >= 1.4.1 < 2.0.0 || >= 2.0.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > request > mime │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/535 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ method-override │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ > 1.0.2 < 2.0.0 || >= 2.3.10 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > method-override │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/538 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ hoek │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > request > hawk > boom > hoek │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/566 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ hoek │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > request > hawk > cryptiles > boom > hoek │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/566 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ hoek │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > request > hawk > hoek │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/566 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ hoek │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ > 4.2.0 < 5.0.0 || >= 5.0.3 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > request > hawk > sntp > hoek │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/566 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Memory Exposure │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tunnel-agent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.6.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > request > tunnel-agent │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/598 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Code Injection │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ morgan │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.9.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > express > connect > morgan │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/736 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Regular Expression Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ underscore.string │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=3.3.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > js-yaml > argparse > underscore.string │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/745 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ js-yaml │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=3.13.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > js-yaml │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/788 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Code Injection │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ js-yaml │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=3.13.1 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ng-token-auth │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ng-token-auth > js-yaml │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/813 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 43 vulnerabilities (11 low, 20 moderate, 12 high) in 122 scanned packages run `npm audit fix` to fix 1 of them. 42 vulnerabilities require manual review. See the full report for details.Proposal
@booleanbetrayal you added a commit to the
masterbranch that fixes these dependencies: 4ec3bdcUnfortunately there has been no release since then.
Could you please create a new release (maybe
0.0.31) to publish this fix?The text was updated successfully, but these errors were encountered: