Hi, there are a couple of dependencies that are listed in this ADR packages that are getting flagged in a basic audit (in my case using PNPM). Can these be updated to their no-risk versions if possible? If not, then I think I'll have to move away from using it.
PNPM Audit
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high │ sharp vulnerability in libwebp dependency │
│ │ CVE-2023-4863 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ sharp │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <0.32.6 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=0.32.6 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ .>adr>sharp │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-54xq-cgqr-rpm3 │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high │ Command Injection in lodash │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ lodash.template │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=4.5.0 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ <0.0.0 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ .>adr>markdown-toc>remarkable>autolinker>gulp- │
│ │ header>lodash.template │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-35jh-r3h4-6jhm │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high │ tar-fs can extract outside the specified dir with a │
│ │ specific tarball │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ tar-fs │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=2.0.0 <2.1.3 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=2.1.3 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ .>adr>sharp>tar-fs │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8cj5-5rvv-wf4v │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ low │ Regular Expression Denial of Service in markdown │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ markdown │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=0.0.0 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ <0.0.0 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ .>adr>markdown │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-wx77-rp39-c6vg │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ low │ brace-expansion Regular Expression Denial of Service │
│ │ vulnerability │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ brace-expansion │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=1.0.0 <=1.1.11 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=1.1.12 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ .>adr>walk-sync>minimatch>brace-expansion │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-v6h2-p8h4-qcjw │
└─────────────────────┴────────────────────────────────────────────────────────┘
Hi, there are a couple of dependencies that are listed in this ADR packages that are getting flagged in a basic audit (in my case using PNPM). Can these be updated to their no-risk versions if possible? If not, then I think I'll have to move away from using it.
PNPM Audit
┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ sharp vulnerability in libwebp dependency │ │ │ CVE-2023-4863 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ sharp │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <0.32.6 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=0.32.6 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>adr>sharp │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-54xq-cgqr-rpm3 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ Command Injection in lodash │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ lodash.template │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <=4.5.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ <0.0.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>adr>markdown-toc>remarkable>autolinker>gulp- │ │ │ header>lodash.template │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-35jh-r3h4-6jhm │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ tar-fs can extract outside the specified dir with a │ │ │ specific tarball │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ tar-fs │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=2.0.0 <2.1.3 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=2.1.3 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>adr>sharp>tar-fs │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-8cj5-5rvv-wf4v │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ low │ Regular Expression Denial of Service in markdown │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ markdown │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=0.0.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ <0.0.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>adr>markdown │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-wx77-rp39-c6vg │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ low │ brace-expansion Regular Expression Denial of Service │ │ │ vulnerability │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ brace-expansion │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=1.0.0 <=1.1.11 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=1.1.12 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>adr>walk-sync>minimatch>brace-expansion │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-v6h2-p8h4-qcjw │ └─────────────────────┴────────────────────────────────────────────────────────┘