High/medium nsp vulnerabilities for dependency ws and hoek #18854
Description
Similar to vulnerability issues in the past (here and here), we have 2 outstanding nsp vulnerabilities.
Running nsp check produces the following:
(+) 2 vulnerabilities found
┌────────────┬────────────────────────────────────────────────────────────────────┐
│ │ Denial of Service │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name │ ws │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS │ 7.5 (High) │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed │ 2.3.1 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <1.1.5 || >=2.0.0 <3.3.1 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched │ >= 1.1.5 <2.0.0 || >=3.3.1 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path │ my-app@0.1.0 > react-native@0.55.2 > react-devtools-core@3.1.0 │
│ │ > ws@2.3.1 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info │ https://nodesecurity.io/advisories/550 │
└────────────┴────────────────────────────────────────────────────────────────────┘
┌────────────┬────────────────────────────────────────────────────────────────────┐
│ │ Prototype pollution attack │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Name │ hoek │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ CVSS │ 4 (Medium) │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Installed │ 2.16.3 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Vulnerable │ <= 4.2.0 || >= 5.0.0 < 5.0.3 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Patched │ > 4.2.0 < 5.0.0 || >= 5.0.3 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ Path │ my-app@0.1.0 > react-native@0.55.2 > metro@0.30.2 > │
│ │ jest-haste-map@22.4.2 > sane@2.5.0 > fsevents@1.1.3 > │
│ │ node-pre-gyp@0.6.39 > hawk@3.1.3 > hoek@2.16.3 │
├────────────┼────────────────────────────────────────────────────────────────────┤
│ More Info │ https://nodesecurity.io/advisories/566 │
└────────────┴────────────────────────────────────────────────────────────────────┘
Environment
Environment:
OS: macOS Sierra 10.12.6
Node: 8.9.4
Yarn: 1.3.2
npm: 5.6.0
Watchman: 4.9.0
Xcode: Xcode 9.2 Build version 9C40b
Android Studio: 3.0 AI-171.4443003
Packages: (wanted => installed)
react: ^16.0.0 => 16.2.0
react-native: ^0.55.0 => 0.55.2
Steps to Reproduce
npm install -g nsp
nsp check
Expected Behavior
(+) 0 vulnerabilities found
Actual Behavior
(+) 2 vulnerabilities found
( Details above )
These are getting picked in the whitesource vulnerability audit, resolving these would be a huge confidence booster.