12 new high vulnerabilities listed in npm audit after upgrade to RC



  • I just upgraded from the last betas to RC by issuing the following command:

    quasar upgrade -i
    

    And as soon as I did, npm started complaining about 12 new high severity vulnerabilities:

    ┌──────────────────────────────────────────────────────────────────────────────┐
    │                                Manual Review                                 │
    │            Some vulnerabilities require your attention to resolve            │
    │                                                                              │
    │         Visit https://go.npm.me/audit-guide for additional guidance          │
    └──────────────────────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ High          │ Arbitrary File Overwrite                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ fstream                                                      │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=1.0.12                                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ [dev]                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ > webpack > chrome-trace-event > npm > libcipm >             │
    │               │ npm-lifecycle > node-gyp > fstream                           │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://npmjs.com/advisories/886                             │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ High          │ Arbitrary File Overwrite                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ fstream                                                      │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=1.0.12                                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ [dev]                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ > webpack > chrome-trace-event > npm > libcipm >             │
    │               │ npm-lifecycle > node-gyp > tar > fstream                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://npmjs.com/advisories/886                             │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ High          │ Arbitrary File Overwrite                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ fstream                                                      │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=1.0.12                                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ [dev]                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ > webpack > chrome-trace-event > npm > libnpm >              │
    │               │ npm-lifecycle > node-gyp > fstream                           │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://npmjs.com/advisories/886                             │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ High          │ Arbitrary File Overwrite                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ fstream                                                      │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=1.0.12                                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ [dev]                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ > webpack > chrome-trace-event > npm > libnpm >              │
    │               │ npm-lifecycle > node-gyp > tar > fstream                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://npmjs.com/advisories/886                             │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ High          │ Arbitrary File Overwrite                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ fstream                                                      │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=1.0.12                                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ [dev]                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ > webpack > chrome-trace-event > npm > node-gyp > fstream    │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://npmjs.com/advisories/886                             │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ High          │ Arbitrary File Overwrite                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ fstream                                                      │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=1.0.12                                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ [dev]                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ > webpack > chrome-trace-event > npm > node-gyp > tar >      │
    │               │ fstream                                                      │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://npmjs.com/advisories/886                             │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ High          │ Arbitrary File Overwrite                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ fstream                                                      │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=1.0.12                                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ [dev]                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ > webpack > chrome-trace-event > npm > npm-lifecycle >       │
    │               │ node-gyp > fstream                                           │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://npmjs.com/advisories/886                             │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ High          │ Arbitrary File Overwrite                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ fstream                                                      │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=1.0.12                                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ [dev]                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ > webpack > chrome-trace-event > npm > npm-lifecycle >       │
    │               │ node-gyp > tar > fstream                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://npmjs.com/advisories/886                             │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ High          │ Arbitrary File Overwrite                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ tar                                                          │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=2.2.2 <3.0.0 || >=4.4.2                                    │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ [dev]                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ > webpack > chrome-trace-event > npm > libcipm >             │
    │               │ npm-lifecycle > node-gyp > tar                               │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://npmjs.com/advisories/803                             │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ High          │ Arbitrary File Overwrite                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ tar                                                          │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=2.2.2 <3.0.0 || >=4.4.2                                    │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ [dev]                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ > webpack > chrome-trace-event > npm > libnpm >              │
    │               │ npm-lifecycle > node-gyp > tar                               │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://npmjs.com/advisories/803                             │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ High          │ Arbitrary File Overwrite                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ tar                                                          │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=2.2.2 <3.0.0 || >=4.4.2                                    │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ [dev]                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ > webpack > chrome-trace-event > npm > node-gyp > tar        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://npmjs.com/advisories/803                             │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    ┌───────────────┬──────────────────────────────────────────────────────────────┐
    │ High          │ Arbitrary File Overwrite                                     │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Package       │ tar                                                          │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Patched in    │ >=2.2.2 <3.0.0 || >=4.4.2                                    │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Dependency of │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ [dev]                                                        │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ Path          │ 6640a177b0f2f57c265dd94fc13b8df4ce77bccef9e3fafaafc5e656840… │
    │               │ > webpack > chrome-trace-event > npm > npm-lifecycle >       │
    │               │ node-gyp > tar                                               │
    ├───────────────┼──────────────────────────────────────────────────────────────┤
    │ More info     │ https://npmjs.com/advisories/803                             │
    └───────────────┴──────────────────────────────────────────────────────────────┘
    

    Any suggestions for how to deal with this? Running npm audit fix is unable to fix them. And upgrading the cli as well (using npm install -g @quasar/cli@latest) has had no effect either.

    Thanks!


  • Admin

    Hi,

    Thank you for reporting. I would like to point out our official way of reporting security issues: https://quasar.dev/security/report-a-vulnerability

    This seems to be an issue with a webpack dependency and I can confirm it got fixed.
    Please upgrade to @quasar/cli and @quasar/app 1.0.0-rc.2 to ensure you have the latest and greatest (and check release notes). I can confirm that yarn audit now reports 0 vulnerabilities.

    Regards,
    Razvan Stoenescu



  • Thanks @rstoenescu but after updating the issues still exist for me. I will report my config and info to the security email address you requested, thanks.


  • Admin

    This is out of Quasar’s reach, as it’s one of webpack’s deps. It should be reported to them.



  • ok will do. I’m just confused as to why it only showed up now, after I updated from latest betas to RC.



  • Exact same here.



  • I tried both npm and yarn, but both give same problems on a project that was working fine on v1 beta. After deleting node_modules and package-lock.json and reinstalling I get error saying all kinds of packages missing and suggesting to install them with:

    To install them, you can run: npm install --save core-js/modules/es.array-buffer.slice core-js/modules/es.array.concat core-js/modules/es.array.filter core-js/modules/es.array.find core-js/modules/es.array.find-index core-js/modules/es.array.flat core-js/modules/es.array.includes core-js/modules/es.array.index-of core-js/modules/es.array.iterator core-js/modules/es.array.join core-js/modules/es.array.map core-js/modules/es.array.slice core-js/modules/es.array.sort core-js/modules/es.array.splice core-js/modules/es.array.unscopables.flat core-js/modules/es.function.name core-js/modules/es.map core-js/modules/es.number.constructor core-js/modules/es.number.is-integer core-js/modules/es.number.to-fixed core-js/modules/es.object.assign core-js/modules/es.object.entries core-js/modules/es.object.get-own-property-descriptor core-js/modules/es.object.keys core-js/modules/es.object.to-string core-js/modules/es.parse-float core-js/modules/es.parse-int core-js/modules/es.promise core-js/modules/es.promise.finally core-js/modules/es.regexp.constructor core-js/modules/es.regexp.to-string core-js/modules/es.string.anchor core-js/modules/es.string.ends-with core-js/modules/es.string.fixed core-js/modules/es.string.includes core-js/modules/es.string.iterator core-js/modules/es.string.match core-js/modules/es.string.replace core-js/modules/es.string.split core-js/modules/es.string.starts-with core-js/modules/es.string.trim core-js/modules/es.symbol core-js/modules/es.symbol.description core-js/modules/es.typed-array.copy-within core-js/modules/es.typed-array.every core-js/modules/es.typed-array.fill core-js/modules/es.typed-array.filter core-js/modules/es.typed-array.find core-js/modules/es.typed-array.find-index core-js/modules/es.typed-array.for-each core-js/modules/es.typed-array.includes core-js/modules/es.typed-array.index-of core-js/modules/es.typed-array.iterator core-js/modules/es.typed-array.join core-js/modules/es.typed-array.last-index-of core-js/modules/es.typed-array.map core-js/modules/es.typed-array.reduce core-js/modules/es.typed-array.reduce-right core-js/modules/es.typed-array.reverse core-js/modules/es.typed-array.set core-js/modules/es.typed-array.slice core-js/modules/es.typed-array.some core-js/modules/es.typed-array.sort core-js/modules/es.typed-array.subarray core-js/modules/es.typed-array.to-locale-string core-js/modules/es.typed-array.to-string core-js/modules/es.typed-array.uint8-clamped-array core-js/modules/web.dom-collections.for-each core-js/modules/web.dom-collections.iterator
    

    But these seem core-js files so I am puzzled…?!



  • It’s caused by Quasar upgrading to newer webpack. We can’t update to latest because that causes even more issues with most NPM packages not being webpack core-js v3 ready. 😞 It’s like everyone needs to move forward at the same time. But don’t fear, it’ll be resolved soon enough.



  • FYI the newly released RC4 solved this problem for me, all 12 security issues went away.



  • Yeah for me too. Got some other errors now when running my app which I reported elsewhere.


  • Admin

    Yes, forced core-js to remain at v2. If however someone wants to use core-js v3, also added that ability. But as of this moment, core-js v3 is highly unrecommended.


Log in to reply