Security update multiple JavaScript dependencies [#3374664]

Problem/Motivation

Note (& Cover My Ass-disclaimer): This issue been discussed with @longwave wearing his Drupal Security Team hat (which I must admit matches the color of his eyes perfectly) and he was OK with this being handled in the public queue.

Also it was decided it would be OK to update all the SA-flagged dependencies in one issue, since splitting this up per dependency would basically be sendig us on a reroll-rampage since they all affect core/yarn.lock.

Note 2:: This topic might cause RSI from too much scrolling for too few comments. No animals were harmed in the making of this issue though.

Right, with the legalities out of the way: We currently have a few SA-flagged JavaScript dependencies in core.

$ yarn audit
yarn audit v1.22.19
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=5.7.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ stylelint                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ stylelint > meow > read-pkg-up > read-pkg >                  │
│               │ normalize-package-data > semver                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092459                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Uncaught Exception in yaml                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yaml                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.2.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint-plugin-yml                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ eslint-plugin-yml > yaml-eslint-parser > yaml                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1091871                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=7.5.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ cspell                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ cspell > semver                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092461                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=7.5.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ stylelint                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ stylelint > meow > normalize-package-data > semver           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092461                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ tough-cookie Prototype Pollution vulnerability               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ tough-cookie                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.1.3                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsdom                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ jsdom > tough-cookie                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092470                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ low           │ Stylelint has vulnerability in semver dependency             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ stylelint                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=15.10.1                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ stylelint                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ stylelint                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092471                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ word-wrap vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ word-wrap                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ eslint > optionator > word-wrap                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092330                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint-config-airbnb-base                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ eslint-config-airbnb-base > semver                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092460                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ postcss-url                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ postcss-url > make-dir > semver                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092460                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ cspell                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ cspell > cspell-lib > configstore > make-dir > semver        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092460                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=7.5.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nightwatch                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nightwatch > semver                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092461                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
11 vulnerabilities found - Packages audited: 826
Severity: 1 Low | 9 Moderate | 1 High
Done in 1.64s.

Steps to reproduce

$ yarn install
$ yarn audit

Proposed resolution

yarn upgrade stylelint eslint-plugin-yml cspell jsdom eslint eslint-config-airbnb-base postcss-url

Since we don't want to facilitate installing unsafe dependencies I bumped the versions of the above in core/package.json where needed.

We need to special case nightwatch since:

a) Upgrading it currently makes TestBot _really_ unhappy (See #3323988: Update Nightwatch from 2.4.2 to 2.6.19)
b) Even upgrading it locally to the latest 2.x version didn't solve the semver issue.

Adding a "resolutions"-section to core/package.json and a $ yarn installdid the trick and $ yarn audit now returns a happy 0 vulnerabilities found - Packages audited: 814.

Since we're updating cspell, I also created a new dictionary.txt.

EDIT: Seems the above introduced 3 new errors when doing a yarn check -s

error "acorn" is wrong version: expected "8.8.2", got "8.10.0"
error "espree#acorn" not installed
error "espree#acorn-jsx" not installed
error Found 3 errors.

which I basically don't care about, but breaks drupal CI (#3369993-43: [Ignore] In space (and/or this issue), no one can hear patches scream VII).

Digging around the only dependency using acorn 8.8.2 is terser.
So I ended up doing an update on that as well, including the version bump in package.json.

Remaining tasks

User interface changes

API changes

Data model changes

Release notes snippet

cspell, eslint, and stylelint have been updated to latest releases to address upstream security vulnerabilities.

Comment	File	Size	Author
#4	3374664-10.0.x-4.patch	108.45 KB	spokje
#3	3374664-10.1.x-3.patch	63.33 KB	spokje
#2	3374664-11.x-2.patch	63.51 KB	spokje

Comments

Comment #1

14 July 2023 at 13:36

Spokje created an issue. See original summary.

Comment #2

spokje

Dutch

commented 14 July 2023 at 13:46

Status	File	Size
new	3374664-11.x-2.patch	63.51 KB

$ yarn-lock-diff -o yarn.old.lock -n yarn.lock
┌──────────────────────────────┬────────────────────────────┬─────────────────────────────┐
│ package name                 │ old version(s)             │ new version(s)              │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @babel/code-frame            │ 7.21.4                     │ 7.22.5                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @babel/helper-validator-ide… │ 7.19.1                     │ 7.22.5                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @babel/highlight             │ 7.18.6                     │ 7.22.5                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-companies       │ 3.0.10                     │ 3.0.17                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-cpp             │ 5.0.2                      │ 5.0.3                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-django          │ 4.0.2                      │ 4.1.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-en_us           │ 4.3.2                      │ 4.3.4                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-filetypes       │ 3.0.0                      │ 3.0.1                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-golang          │ 6.0.1                      │ 6.0.2                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-npm             │ 5.0.5                      │ 5.0.7                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-powershell      │ 5.0.1                      │ 5.0.2                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-python          │ 4.0.3                      │ 4.1.2                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-software-terms  │ 3.1.7                      │ 3.2.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @csstools/css-parser-algori… │ 2.2.0                      │ 2.3.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @csstools/media-query-list-… │ 2.1.0                      │ 2.1.2                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @csstools/selector-specific… │ [...]                      │ [..., 3.0.0]                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @eslint-community/regexpp    │ 4.5.0                      │ 4.5.1                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @eslint/eslintrc             │ 2.0.3                      │ 2.1.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @eslint/js                   │ 8.42.0                     │ 8.44.0                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @jridgewell/gen-mapping      │ 0.3.2                      │ 0.3.3                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @jridgewell/source-map       │ 0.3.3                      │ 0.3.5                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @jridgewell/sourcemap-codec  │ [...]                      │ [..., 1.4.15]               │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @jridgewell/trace-mapping    │ [..., 0.3.18], 0.3.17      │ [...], 0.3.18               │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ acorn                        │ [...], 8.8.2, 8.8.1        │ [..., 8.8.2], 8.8.1, 8.10.0 │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ camelcase-keys               │ 6.2.2                      │ 7.0.2                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ camelcase                    │ [..., 6.3.0], 5.3.1        │ [...], 6.3.0                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ css-functions-list           │ 3.1.0                      │ 3.2.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ decamelize                   │ [...]                      │ [..., 5.0.1]                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ entities                     │ 4.4.0                      │ 4.5.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ es-abstract                  │ 1.21.2                     │ 1.21.3                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ eslint-plugin-yml            │ 1.7.0                      │ 1.8.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ eslint-visitor-keys          │ [..., 3.4.1], 3.4.0        │ [...], 3.4.1                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ eslint                       │ 8.42.0                     │ 8.44.0                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ espree                       │ 9.5.2                      │ 9.6.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ fast-glob                    │ 3.2.12                     │ 3.3.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ get-intrinsic                │ 1.2.0                      │ 1.2.1                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ hosted-git-info              │ [..., 4.1.0], 2.8.9        │ [...], 4.1.0                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ indent-string                │ 4.0.0                      │ 5.0.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ is-core-module               │ 2.12.0, 2.11.0             │ 2.12.1, 2.12.0              │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ meow                         │ 9.0.0                      │ 10.1.5                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ node-fetch                   │ 2.6.9                      │ 2.6.12                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ normalize-package-data       │ [..., 3.0.3], 2.5.0        │ [...], 3.0.3                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ nwsapi                       │ 2.2.4                      │ 2.2.7                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ object.entries               │ 1.1.5                      │ 1.1.6                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ optionator                   │ 0.9.1                      │ 0.9.3                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ postcss-media-query-parser   │ 0.2.3                      │ -                           │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ punycode                     │ [..., 2.3.0], 2.1.1        │ [...], 2.3.0                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ quick-lru                    │ 4.0.1                      │ 5.1.1                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ read-pkg-up                  │ 7.0.1                      │ 8.0.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ read-pkg                     │ 5.2.0                      │ 6.0.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ redent                       │ 3.0.0                      │ 4.0.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ regexp.prototype.flags       │ 1.4.3                      │ 1.5.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ semver                       │ [..., 7.3.5], 6.3.0, 5.7.1 │ [...], 7.5.4, 6.3.1         │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ strip-indent                 │ 3.0.0                      │ 4.0.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ stylelint                    │ 15.7.0                     │ 15.10.1                     │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ terser                       │ 5.17.7                     │ 5.19.0                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ tough-cookie                 │ 4.1.2                      │ 4.1.3                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ trim-newlines                │ 3.0.1                      │ 4.1.1                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ type-fest                    │ [..., 0.7.1],              │                             │
│                              │ 0.6.0, 0.20.2, 0.18.1      │ [...], 1.4.0, 0.7.1, 0.20.2 │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ v8-compile-cache             │ 2.3.0                      │ -                           │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ which-typed-array            │ 1.1.9                      │ 1.1.10                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ word-wrap                    │ 1.2.3                      │ -                           │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ yaml                         │ 2.2.1                      │ 2.3.1                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @aashutoshrathi/word-wrap    │ -                          │ 1.2.6                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-data-science    │ -                          │ 1.0.7                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ typed-array-byte-offset      │ -                          │ 1.0.0                       │
└──────────────────────────────┴────────────────────────────┴─────────────────────────────┘

Comment #3

spokje

Dutch

commented 14 July 2023 at 14:12

Status	File	Size
new	3374664-10.1.x-3.patch	63.33 KB

For 10.1.x:

$ yarn audit
yarn audit v1.22.19
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=5.7.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ stylelint                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ stylelint > meow > read-pkg-up > read-pkg >                  │
│               │ normalize-package-data > semver                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092459                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Uncaught Exception in yaml                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yaml                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.2.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint-plugin-yml                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ eslint-plugin-yml > yaml-eslint-parser > yaml                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1091871                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=7.5.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ cspell                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ cspell > semver                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092461                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=7.5.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ stylelint                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ stylelint > meow > normalize-package-data > semver           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092461                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ tough-cookie Prototype Pollution vulnerability               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ tough-cookie                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.1.3                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsdom                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ jsdom > tough-cookie                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092470                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ word-wrap vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ word-wrap                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ eslint > optionator > word-wrap                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092330                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint-config-airbnb-base                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ eslint-config-airbnb-base > semver                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092460                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ postcss-url                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ postcss-url > make-dir > semver                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092460                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ cspell                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ cspell > cspell-lib > configstore > make-dir > semver        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092460                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=7.5.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nightwatch                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nightwatch > semver                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092461                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
10 vulnerabilities found - Packages audited: 821
Severity: 9 Moderate | 1 High

$ yarn-lock-diff -o yarn.old.lock -n yarn.lock
┌──────────────────────────────┬────────────────────────────┬─────────────────────────────┐
│ package name                 │ old version(s)             │ new version(s)              │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @babel/code-frame            │ 7.21.4                     │ 7.22.5                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @babel/helper-validator-ide… │ 7.19.1                     │ 7.22.5                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @babel/highlight             │ 7.18.6                     │ 7.22.5                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-companies       │ 3.0.10                     │ 3.0.17                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-cpp             │ 5.0.2                      │ 5.0.3                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-django          │ 4.0.2                      │ 4.1.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-en_us           │ 4.3.2                      │ 4.3.4                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-filetypes       │ 3.0.0                      │ 3.0.1                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-golang          │ 6.0.1                      │ 6.0.2                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-npm             │ 5.0.5                      │ 5.0.7                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-powershell      │ 5.0.1                      │ 5.0.2                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-python          │ 4.0.3                      │ 4.1.2                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-software-terms  │ 3.1.7                      │ 3.2.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @csstools/css-parser-algori… │ 2.2.0                      │ 2.3.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @csstools/media-query-list-… │ 2.1.0                      │ 2.1.2                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @csstools/selector-specific… │ [...]                      │ [..., 3.0.0]                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @eslint-community/regexpp    │ 4.5.0                      │ 4.5.1                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @eslint/eslintrc             │ 2.0.3                      │ 2.1.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @eslint/js                   │ 8.42.0                     │ 8.44.0                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @jridgewell/gen-mapping      │ 0.3.2                      │ 0.3.3                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @jridgewell/source-map       │ 0.3.3                      │ 0.3.5                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @jridgewell/sourcemap-codec  │ [...]                      │ [..., 1.4.15]               │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @jridgewell/trace-mapping    │ [..., 0.3.18], 0.3.17      │ [...], 0.3.18               │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ acorn                        │ [...], 8.8.2, 8.8.1        │ [..., 8.8.2], 8.8.1, 8.10.0 │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ camelcase-keys               │ 6.2.2                      │ 7.0.2                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ camelcase                    │ [..., 6.3.0], 5.3.1        │ [...], 6.3.0                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ css-functions-list           │ 3.1.0                      │ 3.2.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ decamelize                   │ [...]                      │ [..., 5.0.1]                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ entities                     │ 4.4.0                      │ 4.5.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ es-abstract                  │ 1.21.2                     │ 1.21.3                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ eslint-plugin-yml            │ 1.7.0                      │ 1.8.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ eslint-visitor-keys          │ [..., 3.4.1], 3.4.0        │ [...], 3.4.1                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ eslint                       │ 8.42.0                     │ 8.44.0                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ espree                       │ 9.5.2                      │ 9.6.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ fast-glob                    │ 3.2.12                     │ 3.3.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ get-intrinsic                │ 1.2.0                      │ 1.2.1                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ hosted-git-info              │ [..., 4.1.0], 2.8.9        │ [...], 4.1.0                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ indent-string                │ 4.0.0                      │ 5.0.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ is-core-module               │ 2.12.0, 2.11.0             │ 2.12.1, 2.12.0              │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ meow                         │ 9.0.0                      │ 10.1.5                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ node-fetch                   │ 2.6.9                      │ 2.6.12                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ normalize-package-data       │ [..., 3.0.3], 2.5.0        │ [...], 3.0.3                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ nwsapi                       │ 2.2.4                      │ 2.2.7                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ object.entries               │ 1.1.5                      │ 1.1.6                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ optionator                   │ 0.9.1                      │ 0.9.3                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ postcss-media-query-parser   │ 0.2.3                      │ -                           │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ punycode                     │ [..., 2.3.0], 2.1.1        │ [...], 2.3.0                │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ quick-lru                    │ 4.0.1                      │ 5.1.1                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ read-pkg-up                  │ 7.0.1                      │ 8.0.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ read-pkg                     │ 5.2.0                      │ 6.0.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ redent                       │ 3.0.0                      │ 4.0.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ regexp.prototype.flags       │ 1.4.3                      │ 1.5.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ semver                       │ [..., 7.3.5], 6.3.0, 5.7.1 │ [...], 7.5.4, 6.3.1         │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ strip-indent                 │ 3.0.0                      │ 4.0.0                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ stylelint                    │ 15.7.0                     │ 15.10.1                     │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ terser                       │ 5.17.7                     │ 5.19.0                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ tough-cookie                 │ 4.1.2                      │ 4.1.3                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ trim-newlines                │ 3.0.1                      │ 4.1.1                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ type-fest                    │ [..., 0.7.1],              │                             │
│                              │ 0.6.0, 0.20.2, 0.18.1      │ [...], 1.4.0, 0.7.1, 0.20.2 │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ v8-compile-cache             │ 2.3.0                      │ -                           │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ which-typed-array            │ 1.1.9                      │ 1.1.10                      │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ word-wrap                    │ 1.2.3                      │ -                           │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ yaml                         │ 2.2.1                      │ 2.3.1                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @aashutoshrathi/word-wrap    │ -                          │ 1.2.6                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ @cspell/dict-data-science    │ -                          │ 1.0.7                       │
├──────────────────────────────┼────────────────────────────┼─────────────────────────────┤
│ typed-array-byte-offset      │ -                          │ 1.0.0                       │
└──────────────────────────────┴────────────────────────────┴─────────────────────────────┘

Comment #4

spokje

Dutch

commented 14 July 2023 at 15:16

Status	File	Size
new	3374664-10.0.x-4.patch	108.45 KB

For 10.0.x:

$  yarn audit
yarn audit v1.22.19
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=5.7.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ stylelint                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ stylelint > meow > read-pkg-up > read-pkg >                  │
│               │ normalize-package-data > semver                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092459                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Uncaught Exception in yaml                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yaml                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.2.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint-plugin-yml                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ eslint-plugin-yml > yaml-eslint-parser > yaml                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1091871                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=7.5.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ cspell                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ cspell > semver                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092461                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=7.5.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ stylelint                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ stylelint > meow > normalize-package-data > semver           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092461                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ tough-cookie Prototype Pollution vulnerability               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ tough-cookie                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=4.1.3                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsdom                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ jsdom > tough-cookie                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092470                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ word-wrap vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ word-wrap                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ eslint > optionator > word-wrap                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092330                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ word-wrap vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ word-wrap                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ jsdom                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ jsdom > escodegen > optionator > word-wrap                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092330                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ eslint-config-airbnb-base                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ eslint-config-airbnb-base > semver                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092460                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ postcss-url                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ postcss-url > make-dir > semver                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092460                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=6.3.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ cspell                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ cspell > cspell-lib > configstore > make-dir > semver        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092460                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate      │ semver vulnerable to Regular Expression Denial of Service    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ semver                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=7.5.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ nightwatch                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ nightwatch > semver                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1092461                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
11 vulnerabilities found - Packages audited: 777

$ yarn-lock-diff -o yarn.old.lock -n yarn.lock
┌──────────────────────────────┬──────────────────────┬──────────────────────────────┐
│ package name                 │ old version(s)       │ new version(s)               │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @babel/code-frame            │ 7.18.6               │ 7.22.5                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @babel/helper-validator-ide… │ 7.19.1               │ 7.22.5                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @babel/highlight             │ 7.18.6               │ 7.22.5                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/cspell-bundled-dicts │ 6.17.0               │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/cspell-pipe          │ 6.17.0               │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/cspell-service-bus   │ 6.17.0               │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/cspell-types         │ 6.17.0               │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-ada             │ 4.0.0                │ 4.0.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-bash            │ 4.1.0                │ 4.1.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-companies       │ 3.0.3                │ 3.0.17                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-cpp             │ 4.0.0                │ 5.0.3                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-css             │ 4.0.0                │ 4.0.6                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-dart            │ 2.0.0                │ 2.0.2                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-django          │ 4.0.0                │ 4.1.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-docker          │ 1.1.3                │ 1.1.6                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-dotnet          │ 4.0.0                │ 5.0.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-elixir          │ 4.0.0                │ 4.0.3                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-en_us           │ 4.1.0                │ 4.3.4                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-filetypes       │ 3.0.0                │ 3.0.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-fonts           │ 3.0.0                │ 3.0.2                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-fullstack       │ 3.0.0                │ 3.1.5                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-golang          │ 5.0.0                │ 6.0.2                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-haskell         │ 4.0.0                │ 4.0.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-html            │ 4.0.1                │ 4.0.3                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-java            │ 5.0.2                │ 5.0.5                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-latex           │ 3.0.0                │ 4.0.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-lua             │ 3.0.0                │ 4.0.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-node            │ 4.0.1                │ 4.0.2                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-npm             │ 5.0.0                │ 5.0.7                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-php             │ 3.0.3                │ 4.0.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-powershell      │ 3.0.0                │ 5.0.2                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-public-licenses │ 2.0.0                │ 2.0.2                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-python          │ 4.0.0                │ 4.1.2                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-r               │ 2.0.0                │ 2.0.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-ruby            │ 3.0.0                │ 5.0.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-rust            │ 3.0.0                │ 4.0.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-scala           │ 3.0.0                │ 5.0.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-software-terms  │ 3.0.5                │ 3.2.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-sql             │ 2.0.0                │ 2.1.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-svelte          │ 1.0.0                │ 1.0.2                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-swift           │ 2.0.0                │ 2.0.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-typescript      │ 3.0.1                │ 3.1.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/strong-weak-map      │ 6.17.0               │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @csstools/selector-specific… │ [...]                │ [..., 2.2.0]                 │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @eslint/eslintrc             │ 1.3.3                │ 2.1.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @humanwhocodes/config-array  │ 0.11.7               │ 0.11.10                      │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ acorn                        │ [...], 8.8.1         │ [..., 8.8.1], 8.10.0         │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ ajv                          │ 8.11.2               │ 8.12.0                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ commander                    │ [...], 9.4.1, 2.20.3 │ [..., 9.5.0], 2.20.3, 10.0.1 │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ cspell-dictionary            │ 6.17.0               │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ cspell-gitignore             │ 6.17.0               │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ cspell-glob                  │ 6.17.0               │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ cspell-grammar               │ 6.17.0               │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ cspell-io                    │ 6.17.0               │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ cspell-lib                   │ 6.17.0               │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ cspell-trie-lib              │ 6.17.0               │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ cspell                       │ 6.17.0               │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ css-functions-list           │ 3.1.0                │ 3.2.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ decimal.js                   │ 10.4.2               │ 10.4.3                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ define-properties            │ 1.1.4                │ 1.2.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ entities                     │ 4.4.0                │ 4.5.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ es-abstract                  │ [...]                │ [..., 1.21.3]                │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ escodegen                    │ 2.0.0                │ 2.1.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ eslint-plugin-yml            │ 1.2.0                │ 1.8.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ eslint-scope                 │ 7.1.1                │ 7.2.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ eslint-utils                 │ 3.0.0                │ -                            │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ eslint-visitor-keys          │ [..., 3.3.0], 2.1.0  │ [...], 3.4.1                 │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ eslint                       │ 8.29.0               │ 8.44.0                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ espree                       │ 9.4.1                │ 9.6.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ esquery                      │ 1.4.0                │ 1.5.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ fast-glob                    │ 3.2.12               │ 3.3.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ fastq                        │ 1.14.0               │ 1.15.0                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ gensequence                  │ 4.0.2                │ 5.0.2                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ get-intrinsic                │ [..., 1.1.2], 1.1.1  │ [...], 1.2.1                 │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ globals                      │ 13.18.0              │ 13.20.0                      │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ graceful-fs                  │ [...]                │ [..., 4.2.11]                │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ grapheme-splitter            │ 1.0.4                │ -                            │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ html-tags                    │ 3.2.0                │ 3.3.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ ignore                       │ 5.2.1                │ 5.2.4                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ internal-slot                │ 1.0.3                │ 1.0.5                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ is-callable                  │ 1.2.4                │ 1.2.7                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ is-core-module               │ [...]                │ [..., 2.12.1]                │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ js-sdsl                      │ 4.2.0                │ -                            │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ nanoid                       │ [...]                │ [..., 3.3.6]                 │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ node-fetch                   │ 2.6.7                │ 2.6.12                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ nwsapi                       │ 2.2.2                │ 2.2.7                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ object-inspect               │ 1.12.0               │ 1.12.3                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ object.assign                │ 4.1.2                │ 4.1.4                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ object.entries               │ 1.1.5                │ 1.1.6                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ optionator                   │ [..., 0.9.1], 0.8.3  │ [...], 0.9.3                 │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ postcss-selector-parser      │ [...]                │ [..., 6.0.13]                │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ postcss                      │ [...]                │ [..., 8.4.26]                │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ punycode                     │ 2.1.1                │ 2.3.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ regexpp                      │ 3.2.0                │ -                            │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ resolve                      │ [...]                │ [..., 1.22.2]                │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ semver                       │ [..., 7.3.8],        │                              │
│                              │ 7.3.5, 6.3.0, 5.7.1  │ [...], 7.5.4, 6.3.1, 5.7.2   │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ spdx-correct                 │ 3.1.1                │ 3.2.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ spdx-license-ids             │ 3.0.12               │ 3.0.13                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ string.prototype.trimend     │ 1.0.5                │ 1.0.6                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ string.prototype.trimstart   │ 1.0.5                │ 1.0.6                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ stylelint                    │ 14.16.0              │ 14.16.1                      │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ tough-cookie                 │ 4.1.2                │ 4.1.3                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ vscode-languageserver-textd… │ 1.0.7                │ 1.0.8                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ vscode-uri                   │ 3.0.6                │ 3.0.7                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ word-wrap                    │ 1.2.3                │ -                            │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ ws                           │ 8.11.0               │ 8.13.0                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ yaml-eslint-parser           │ 1.1.0                │ 1.2.2                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ yaml                         │ 2.1.1                │ 2.3.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @aashutoshrathi/word-wrap    │ -                    │ 1.2.6                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-data-science    │ -                    │ 1.0.7                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-en-common-miss… │ -                    │ 1.0.2                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-gaming-terms    │ -                    │ 1.0.4                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dict-k8s             │ -                    │ 1.0.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @cspell/dynamic-import       │ -                    │ 6.31.1                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @eslint-community/eslint-ut… │ -                    │ 4.4.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @eslint-community/regexpp    │ -                    │ 4.5.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ @eslint/js                   │ -                    │ 8.44.0                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ array-buffer-byte-length     │ -                    │ 1.0.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ available-typed-arrays       │ -                    │ 1.0.5                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ es-set-tostringtag           │ -                    │ 2.0.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ for-each                     │ -                    │ 0.3.3                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ function.prototype.name      │ -                    │ 1.1.5                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ functions-have-names         │ -                    │ 1.2.3                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ globalthis                   │ -                    │ 1.0.3                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ gopd                         │ -                    │ 1.0.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ graphemer                    │ -                    │ 1.4.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ has-proto                    │ -                    │ 1.0.1                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ import-meta-resolve          │ -                    │ 2.2.2                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ is-array-buffer              │ -                    │ 3.0.2                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ is-typed-array               │ -                    │ 1.1.10                       │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ regexp.prototype.flags       │ -                    │ 1.5.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ safe-regex-test              │ -                    │ 1.0.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ string.prototype.trim        │ -                    │ 1.2.7                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ typed-array-byte-offset      │ -                    │ 1.0.0                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ typed-array-length           │ -                    │ 1.0.4                        │
├──────────────────────────────┼──────────────────────┼──────────────────────────────┤
│ which-typed-array            │ -                    │ 1.1.10                       │
└──────────────────────────────┴──────────────────────┴──────────────────────────────┘

Comment #5

spokje

Dutch

commented 14 July 2023 at 15:17

Assigned:	spokje	» Unassigned
Status:	Active	» Needs review

Comment #6

spokje

Dutch

commented 14 July 2023 at 16:02

Issue summary:

View changes

Comment #7

smustgrave commented 17 July 2023 at 15:18

Status:

Needs review

» Reviewed & tested by the community

Imagine this probably should get in soon right?

Comment #8

17 July 2023 at 16:19

lauriii committed 5c126061 on 11.x

Issue #3374664 by Spokje: Security update multiple JavaScript...

Comment #9

lauriii

he/him

Finnish

Finland

commented 17 July 2023 at 16:20

Version:

11.x-dev

» 10.1.x-dev

Committed 5c12606 and pushed to 11.x. Thanks!

Would be good to get +1 from another committer for backporting the minor dev dependency updates to a patch release.

Comment #10

17 July 2023 at 17:21

lauriii committed 2dacc539 on 10.1.x

Issue #3374664 by Spokje: Security update multiple JavaScript...

Comment #11

lauriii

he/him

Finnish

Finland

commented 17 July 2023 at 17:21

Status:

Reviewed & tested by the community

» Fixed

Got a +1 for 10.1.x backport from @longwave.

Committed 2dacc53 and pushed to 10.1.x. Thanks!

Comment #12

lauriii

he/him

Finnish

Finland

commented 17 July 2023 at 17:33

Issue tags:

+10.1.2 release notes

Comment #13

lauriii

he/him

Finnish

Finland

commented 17 July 2023 at 17:35

Issue summary:

View changes

Comment #14

spokje

Dutch

commented 18 July 2023 at 06:05

Opened #3375150: core/yarn.lock out-of-sync after [#3374664] since I (apparanlty) didn't provide a fully updated core/yarn.lock in my patches here (meh!).

Comment #15

1 August 2023 at 06:09

Status:

Fixed

» Closed (fixed)

Automatically closed - issue fixed for 2 weeks with no activity.

Comment #16

andypost

he/him

Russian

commented 15 December 2023 at 15:08

There's regression happened, follow-up #3409048: Configure postcss formatting after stylelint and stylelint-config-standard update

Security update multiple JavaScript dependencies

Problem/Motivation

Steps to reproduce

Proposed resolution

Remaining tasks

User interface changes

API changes

Data model changes

Release notes snippet

Comments

Comment #1

Comment #2

Comment #3

Comment #4

Comment #5

Comment #6

Comment #7

Comment #8

Comment #9

Comment #10

Comment #11

Comment #12

Comment #13

Comment #14

Comment #15

Comment #16

Referenced by

News items

Our community

Documentation

Drupal code base

Governance of community