Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Audit errors in node-fetch and object-path #18044

Closed
fabb opened this issue Oct 20, 2020 · 4 comments · Fixed by #18087
Closed

Audit errors in node-fetch and object-path #18044

fabb opened this issue Oct 20, 2020 · 4 comments · Fixed by #18087

Comments

@fabb
Copy link
Contributor

fabb commented Oct 20, 2020

Bug report

Describe the bug

There are audit errors for 2 transitively used dependencies.

To Reproduce

  1. Install next.js 9.5.5 into an npm project
  2. Execute npm audit

Expected behavior

No audit errors should be shown

Actual behavior

`npm audit` output ``` ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ low │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @wh/search │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @wh/search > next > @ampproject/toolbox-optimizer > │ │ │ @ampproject/toolbox-core > cross-fetch > node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1556 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ low │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @wh/jobs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @wh/jobs > next > @ampproject/toolbox-optimizer > │ │ │ @ampproject/toolbox-core > cross-fetch > node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1556 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ low │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @wh/search │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @wh/search > next > @ampproject/toolbox-optimizer > │ │ │ @ampproject/toolbox-runtime-version > │ │ │ @ampproject/toolbox-core > cross-fetch > node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1556 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ low │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @wh/jobs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @wh/jobs > next > @ampproject/toolbox-optimizer > │ │ │ @ampproject/toolbox-runtime-version > │ │ │ @ampproject/toolbox-core > cross-fetch > node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1556 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ low │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @wh/search │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @wh/search > next > @ampproject/toolbox-optimizer > │ │ │ @ampproject/toolbox-validator-rules > cross-fetch > │ │ │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1556 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ low │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @wh/jobs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @wh/jobs > next > @ampproject/toolbox-optimizer > │ │ │ @ampproject/toolbox-validator-rules > cross-fetch > │ │ │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1556 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ low │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @wh/search │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @wh/search > next > @ampproject/toolbox-optimizer > │ │ │ cross-fetch > node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1556 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ low │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @wh/jobs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @wh/jobs > next > @ampproject/toolbox-optimizer > │ │ │ cross-fetch > node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1556 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ low │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @wh/search │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @wh/search > next > @ampproject/toolbox-optimizer > │ │ │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1556 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ low │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @wh/jobs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @wh/jobs > next > @ampproject/toolbox-optimizer > node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1556 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ high │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ object-path │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.11.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @wh/search │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @wh/search > next > resolve-url-loader > │ │ │ adjust-sourcemap-loader > object-path │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1573 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ high │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ object-path │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=0.11.5 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @wh/jobs │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @wh/jobs > next > resolve-url-loader > │ │ │ adjust-sourcemap-loader > object-path │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1573 │ └───────────────┴──────────────────────────────────────────────────────────────┘ 12 vulnerabilities found - Packages audited: 1904 ```

System information

  • OS: macOS
  • Version of Next.js: 9.5.5
  • Version of Node.js: 12.18.4

Additional context

Failing audit errors break our CI pipeline. Currently the only way to work around this is to do manual changes to package-lock.json.
@kachkaev
Copy link
Contributor

kachkaev commented Oct 20, 2020
edited
Loading

Re node-fetch: see #17250 & #17416

Re object-path: see bholloway/resolve-url-loader#170 & bholloway/resolve-url-loader#172

@kachkaev
Copy link
Contributor

kachkaev commented Oct 20, 2020
edited
Loading

[email protected] is out, someone just needs to bump it in nextpackage.json:

next.js/packages/next/package.json

Line 111 in a6ef245

"resolve-url-loader": "3.1.1",

This should fix the issue with object-path.

I can submit a PR tonight (GMT), but I guess someone else will be faster 😁

@Kush28
Copy link

Kush28 commented Oct 20, 2020
edited
Loading

Facing the same issue,

Someone needs to update these 2 packages.
@timneutkens Can you see this.

@felipeguilhermefs felipeguilhermefs mentioned this issue Oct 20, 2020
Merged
kodiakhq bot pushed a commit that referenced this issue Oct 20, 2020
@felipeguilhermefs
Update resolve-url-loader to fix vulnerability (#18064)
d4f53ec 
Bump resolve-url-loader version to fix vulnerability. 

Fixes #18048
Related #18044
timneutkens added a commit to timneutkens/next.js that referenced this issue Oct 21, 2020
@timneutkens
Upgrade @ampproject/toolbox-optimizer
87974da 
Fixes vercel#18044
Related to vercel#17416
@timneutkens timneutkens mentioned this issue Oct 21, 2020
Merged
timneutkens added a commit that referenced this issue Oct 21, 2020
@timneutkens
Upgrade @ampproject/toolbox-optimizer (#18087)
71f3e8d 
Fixes #18044
Related to #17416
@Entkenntnis Entkenntnis mentioned this issue Oct 23, 2020
Closed
@omBratteng omBratteng mentioned this issue Oct 26, 2020
Closed
@icco icco mentioned this issue Nov 4, 2020
Closed
@balazsorban44
Copy link
Member

This issue has been automatically locked due to no recent activity. If you are running into a similar issue, please create a new issue with the steps to reproduce. Thank you.

@vercel vercel locked as resolved and limited conversation to collaborators Jan 29, 2022
Sign up for free to subscribe to this conversation on GitHub. Already have an account? Sign in.
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
4 participants
@fabb @kachkaev @Kush28 @balazsorban44