Opened 5 years ago
Closed 5 years ago
#47631 closed defect (bug) (fixed)
Twenty Nineteen: Update `package.json` with latest versions to pass `npm audit`
Reported by: | netweb | Owned by: | SergeyBiryukov |
---|---|---|---|
Milestone: | 5.3 | Priority: | normal |
Severity: | normal | Version: | |
Component: | Bundled Theme | Keywords: | has-patch commit |
Focuses: | Cc: |
Description
Running npm audit
on the Twenty Nineteen theme folder results in:
❯ npm audit === npm audit security report === # Run npm install --save-dev postcss-cli@6.1.2 to resolve 3 vulnerabilities ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ postcss-cli [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ postcss-cli > chokidar > fsevents > node-pre-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/803 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ js-yaml │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ postcss-cli [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ postcss-cli > postcss-load-config > cosmiconfig > js-yaml │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/788 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Code Injection │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ js-yaml │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ postcss-cli [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ postcss-cli > postcss-load-config > cosmiconfig > js-yaml │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/813 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm install --save-dev chokidar-cli@1.2.2 to resolve 2 vulnerabilities ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ chokidar-cli [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ chokidar-cli > lodash │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/782 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ chokidar-cli [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ chokidar-cli > chokidar > fsevents > node-pre-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/803 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm update fstream --depth 4 to resolve 2 vulnerabilities ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ node-sass [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ node-sass > node-gyp > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ node-sass [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ node-sass > node-gyp > tar > fstream │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/886 │ └───────────────┴──────────────────────────────────────────────────────────────┘ # Run npm update tar --depth 3 to resolve 1 vulnerability ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Arbitrary File Overwrite │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ node-sass [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ node-sass > node-gyp > tar │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/803 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 8 vulnerabilities (1 moderate, 7 high) in 6020 scanned packages run `npm audit fix` to fix 8 of them.
After applying the attached patch running npm audit
again results in:
=== npm audit security report === found 0 vulnerabilities in 6125 scanned packages
The patch updates the following packages versions:
@wordpress/browserslist-config ^2.2.2 → ^2.5.0 autoprefixer ^9.1.5 → ^9.6.0 chokidar-cli ^1.2.1 → ^1.2.2 node-sass ^4.9.3 → ^4.12.0 postcss-cli ^6.0.1 → ^6.1.2
After applyin the patch and running npm build
the Twenty Nineteen theme style files are regenerated but there are no changes to any of the style*.css
files.
Attachments (1)
Change History (3)
Note: See
TracTickets for help on using
tickets.
In 45594: