npm audit complains high vulnerabilities of hexo-generator-amp #56
Description
For BUG
- All the 20 vulnerabilities depend on hexo-generator-amp
- The output of
npm auditof hexo directory is as follows:
=== npm audit security report ===
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Inefficient Regular Expression Complexity in │
│ │ chalk/ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=5.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > node-sass > npmlog > gauge > wide-align │
│ │ > string-width > strip-ansi > ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-93q8-gq69-wqmw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Inefficient Regular Expression Complexity in │
│ │ chalk/ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=5.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > node-sass > node-gyp > npmlog > gauge > │
│ │ wide-align > string-width > strip-ansi > ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-93q8-gq69-wqmw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Inefficient Regular Expression Complexity in │
│ │ chalk/ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=5.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > node-sass > sass-graph > yargs > │
│ │ string-width > strip-ansi > ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-93q8-gq69-wqmw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Inefficient Regular Expression Complexity in │
│ │ chalk/ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=5.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > node-sass > sass-graph > yargs > cliui │
│ │ > string-width > strip-ansi > ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-93q8-gq69-wqmw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Inefficient Regular Expression Complexity in │
│ │ chalk/ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=5.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > node-sass > sass-graph > yargs > cliui │
│ │ > wrap-ansi > string-width > strip-ansi > ansi-regex │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-93q8-gq69-wqmw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > hexo-fs > chokidar > braces > │
│ │ snapdragon > base > cache-base > set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-4jqc-8m5r-9rpr │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > hexo-fs > chokidar > anymatch > │
│ │ micromatch > snapdragon > base > cache-base > set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-4jqc-8m5r-9rpr │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > hexo-fs > chokidar > anymatch > │
│ │ micromatch > braces > snapdragon > base > cache-base > │
│ │ set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-4jqc-8m5r-9rpr │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > hexo-fs > chokidar > anymatch > │
│ │ micromatch > extglob > expand-brackets > snapdragon > base > │
│ │ cache-base > set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-4jqc-8m5r-9rpr │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution in set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > hexo-fs > chokidar > anymatch > │
│ │ micromatch > extglob > expand-brackets > snapdragon > base > │
│ │ cache-base > union-value > set-value │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-4jqc-8m5r-9rpr │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary File Creation/Overwrite on Windows via │
│ │ insufficient relative path sanitization │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tar │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.4.18 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > node-sass > node-gyp > tar │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-5955-9wpr-37jh │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary File Creation/Overwrite via insufficient symlink │
│ │ protection due to directory cache poisoning using symbolic │
│ │ links │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tar │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.4.18 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > node-sass > node-gyp > tar │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qq89-hq3f-393p │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary File Creation/Overwrite via insufficient symlink │
│ │ protection due to directory cache poisoning using symbolic │
│ │ links │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tar │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.4.16 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > node-sass > node-gyp > tar │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-9r2w-394v-53qc │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary File Creation/Overwrite due to insufficient │
│ │ absolute path sanitization │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tar │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.2.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > node-sass > node-gyp > tar │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-3jfq-g458-7qm9 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Arbitrary File Creation/Overwrite via insufficient symlink │
│ │ protection due to directory cache poisoning │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ tar │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.2.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > node-sass > node-gyp > tar │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-r628-mhmh-qjhw │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Passing in a non-string 'html' argument can lead to │
│ │ unsanitized output │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ striptags │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.2.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > hexo-util > striptags │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qxg5-2qff-p49r │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Regular Expression Denial of Service in trim-newlines │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ trim-newlines │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > node-sass > meow > trim-newlines │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-7p7h-4mm5-852v │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Regular expression denial of service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ glob-parent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=5.1.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > hexo-fs > chokidar > glob-parent │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-ww39-953v-wcq6 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Remote code execution via the `pretty` option. │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ pug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.0.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > pug │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-p493-635q-r6gr │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ ReDOS vulnerabities: multiple grammars │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ highlight.js │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=10.4.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ hexo-generator-amp │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ hexo-generator-amp > hexo-util > highlight.js │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-7wwv-vh3v-89cq │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 20 vulnerabilities (7 moderate, 13 high) in 742 scanned packages
20 vulnerabilities require manual review. See the full report for details.
Environment Info
OS version
- Linux: Ubuntu 20.04.2 LTS (5.11.0-37-generic)
Node version(node -v)
v12.22.7
Plugin version(npm ls --depth 0)
sanori.github.io@0.1.1 ~/Workspace/sanori.github.io
├── eslint@7.32.0
├── hexo@5.4.0
├── hexo-deployer-git@3.0.0
├── hexo-generator-amp@3.2.0
├── hexo-generator-archive@1.0.0
├── hexo-generator-category@1.0.0
├── hexo-generator-feed@3.0.0
├── hexo-generator-index@2.0.0
├── hexo-generator-tag@1.0.0
├── hexo-renderer-ejs@1.0.0
├── hexo-renderer-marked@4.1.0
├── hexo-renderer-stylus@2.0.1
└── hexo-server@2.0.0