12 new high vulnerabilities listed in npm audit after upgrade to RC
-
I just upgraded from the last betas to RC by issuing the following command:
quasar upgrade -iAnd as soon as I did, npm started complaining about 12 new high severity vulnerabilities:
┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.0.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ > webpack > chrome-trace-event > npm > libcipm > │ │ │ npm-lifecycle > node-gyp > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.0.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ > webpack > chrome-trace-event > npm > libcipm > │ │ │ npm-lifecycle > node-gyp > tar > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.0.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ > webpack > chrome-trace-event > npm > libnpm > │ │ │ npm-lifecycle > node-gyp > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.0.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ > webpack > chrome-trace-event > npm > libnpm > │ │ │ npm-lifecycle > node-gyp > tar > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.0.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ > webpack > chrome-trace-event > npm > node-gyp > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.0.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ > webpack > chrome-trace-event > npm > node-gyp > tar > │ │ │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.0.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ > webpack > chrome-trace-event > npm > npm-lifecycle > │ │ │ node-gyp > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=1.0.12 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ > webpack > chrome-trace-event > npm > npm-lifecycle > │ │ │ node-gyp > tar > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.2.2 <3.0.0 || >=4.4.2 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ > webpack > chrome-trace-event > npm > libcipm > │ │ │ npm-lifecycle > node-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/803 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.2.2 <3.0.0 || >=4.4.2 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ > webpack > chrome-trace-event > npm > libnpm > │ │ │ npm-lifecycle > node-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/803 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.2.2 <3.0.0 || >=4.4.2 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ > webpack > chrome-trace-event > npm > node-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/803 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.2.2 <3.0.0 || >=4.4.2 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │ │ │ > webpack > chrome-trace-event > npm > npm-lifecycle > │ │ │ node-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/803 │ └───────────────┴──────────────────────────────────────────────────────────────┘Any suggestions for how to deal with this? Running
npm audit fixis unable to fix them. And upgrading the cli as well (usingnpm install -g @quasar/cli@latest) has had no effect either.Thanks!
-
Hi,
Thank you for reporting. I would like to point out our official way of reporting security issues: https://quasar.dev/security/report-a-vulnerability
This seems to be an issue with a webpack dependency and I can confirm it got fixed.
Please upgrade to@quasar/cliand@quasar/app1.0.0-rc.2 to ensure you have the latest and greatest (and check release notes). I can confirm thatyarn auditnow reports 0 vulnerabilities.Regards,
Razvan Stoenescu -
Thanks @rstoenescu but after updating the issues still exist for me. I will report my config and info to the security email address you requested, thanks.
-
This is out of Quasar’s reach, as it’s one of webpack’s deps. It should be reported to them.
-
ok will do. I’m just confused as to why it only showed up now, after I updated from latest betas to RC.
-
Exact same here.
-
I tried both npm and yarn, but both give same problems on a project that was working fine on v1 beta. After deleting node_modules and package-lock.json and reinstalling I get error saying all kinds of packages missing and suggesting to install them with:
To install them, you can run: npm install --save core-js/modules/es.array-buffer.slice core-js/modules/es.array.concat core-js/modules/es.array.filter core-js/modules/es.array.find core-js/modules/es.array.find-index core-js/modules/es.array.flat core-js/modules/es.array.includes core-js/modules/es.array.index-of core-js/modules/es.array.iterator core-js/modules/es.array.join core-js/modules/es.array.map core-js/modules/es.array.slice core-js/modules/es.array.sort core-js/modules/es.array.splice core-js/modules/es.array.unscopables.flat core-js/modules/es.function.name core-js/modules/es.map core-js/modules/es.number.constructor core-js/modules/es.number.is-integer core-js/modules/es.number.to-fixed core-js/modules/es.object.assign core-js/modules/es.object.entries core-js/modules/es.object.get-own-property-descriptor core-js/modules/es.object.keys core-js/modules/es.object.to-string core-js/modules/es.parse-float core-js/modules/es.parse-int core-js/modules/es.promise core-js/modules/es.promise.finally core-js/modules/es.regexp.constructor core-js/modules/es.regexp.to-string core-js/modules/es.string.anchor core-js/modules/es.string.ends-with core-js/modules/es.string.fixed core-js/modules/es.string.includes core-js/modules/es.string.iterator core-js/modules/es.string.match core-js/modules/es.string.replace core-js/modules/es.string.split core-js/modules/es.string.starts-with core-js/modules/es.string.trim core-js/modules/es.symbol core-js/modules/es.symbol.description core-js/modules/es.typed-array.copy-within core-js/modules/es.typed-array.every core-js/modules/es.typed-array.fill core-js/modules/es.typed-array.filter core-js/modules/es.typed-array.find core-js/modules/es.typed-array.find-index core-js/modules/es.typed-array.for-each core-js/modules/es.typed-array.includes core-js/modules/es.typed-array.index-of core-js/modules/es.typed-array.iterator core-js/modules/es.typed-array.join core-js/modules/es.typed-array.last-index-of core-js/modules/es.typed-array.map core-js/modules/es.typed-array.reduce core-js/modules/es.typed-array.reduce-right core-js/modules/es.typed-array.reverse core-js/modules/es.typed-array.set core-js/modules/es.typed-array.slice core-js/modules/es.typed-array.some core-js/modules/es.typed-array.sort core-js/modules/es.typed-array.subarray core-js/modules/es.typed-array.to-locale-string core-js/modules/es.typed-array.to-string core-js/modules/es.typed-array.uint8-clamped-array core-js/modules/web.dom-collections.for-each core-js/modules/web.dom-collections.iteratorBut these seem core-js files so I am puzzled…?!
-
It’s caused by Quasar upgrading to newer webpack. We can’t update to latest because that causes even more issues with most NPM packages not being webpack core-js v3 ready.
It’s like everyone needs to move forward at the same time. But don’t fear, it’ll be resolved soon enough. -
FYI the newly released RC4 solved this problem for me, all 12 security issues went away.
-
Yeah for me too. Got some other errors now when running my app which I reported elsewhere.
-
Yes, forced core-js to remain at v2. If however someone wants to use core-js v3, also added that ability. But as of this moment, core-js v3 is highly unrecommended.
