[wp-trac] [WordPress Trac] #47631: Twenty Nineteen: Update `package.json` with latest versions to pass `npm audit`

WordPress Trac noreply at wordpress.org
Mon Jul 1 02:21:20 UTC 2019 

#47631: Twenty Nineteen: Update `package.json` with latest versions to pass `npm
audit`
---------------------------+--------------------
 Reporter:  netweb         |      Owner:  (none)
     Type:  defect (bug)   |     Status:  new
 Priority:  normal         |  Milestone:  5.3
Component:  Bundled Theme  |    Version:
 Severity:  normal         |   Keywords:
  Focuses:                 |
---------------------------+--------------------
 Running `npm audit` on the Twenty Nineteen theme folder results in:

 {{{#!bash
 ❯ npm audit

                        === npm audit security report ===

 # Run  npm install --save-dev postcss-cli at 6.1.2  to resolve 3
 vulnerabilities
 ┌───────────────┬──────────────────────────────────────────────────────────────┐
 │ High          │ Arbitrary File Overwrite
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Package       │ tar
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Dependency of │ postcss-cli [dev]
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Path          │ postcss-cli > chokidar > fsevents > node-pre-gyp > tar
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ More info     │ https://npmjs.com/advisories/803
 │
 └───────────────┴──────────────────────────────────────────────────────────────┘


 ┌───────────────┬──────────────────────────────────────────────────────────────┐
 │ Moderate      │ Denial of Service
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Package       │ js-yaml
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Dependency of │ postcss-cli [dev]
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Path          │ postcss-cli > postcss-load-config > cosmiconfig > js-
 yaml    │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ More info     │ https://npmjs.com/advisories/788
 │
 └───────────────┴──────────────────────────────────────────────────────────────┘


 ┌───────────────┬──────────────────────────────────────────────────────────────┐
 │ High          │ Code Injection
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Package       │ js-yaml
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Dependency of │ postcss-cli [dev]
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Path          │ postcss-cli > postcss-load-config > cosmiconfig > js-
 yaml    │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ More info     │ https://npmjs.com/advisories/813
 │
 └───────────────┴──────────────────────────────────────────────────────────────┘


 # Run  npm install --save-dev chokidar-cli at 1.2.2  to resolve 2
 vulnerabilities
 ┌───────────────┬──────────────────────────────────────────────────────────────┐
 │ High          │ Prototype Pollution
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Package       │ lodash
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Dependency of │ chokidar-cli [dev]
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Path          │ chokidar-cli > lodash
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ More info     │ https://npmjs.com/advisories/782
 │
 └───────────────┴──────────────────────────────────────────────────────────────┘


 ┌───────────────┬──────────────────────────────────────────────────────────────┐
 │ High          │ Arbitrary File Overwrite
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Package       │ tar
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Dependency of │ chokidar-cli [dev]
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Path          │ chokidar-cli > chokidar > fsevents > node-pre-gyp > tar
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ More info     │ https://npmjs.com/advisories/803
 │
 └───────────────┴──────────────────────────────────────────────────────────────┘


 # Run  npm update fstream --depth 4  to resolve 2 vulnerabilities
 ┌───────────────┬──────────────────────────────────────────────────────────────┐
 │ High          │ Arbitrary File Overwrite
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Package       │ fstream
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Dependency of │ node-sass [dev]
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Path          │ node-sass > node-gyp > fstream
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ More info     │ https://npmjs.com/advisories/886
 │
 └───────────────┴──────────────────────────────────────────────────────────────┘


 ┌───────────────┬──────────────────────────────────────────────────────────────┐
 │ High          │ Arbitrary File Overwrite
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Package       │ fstream
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Dependency of │ node-sass [dev]
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Path          │ node-sass > node-gyp > tar > fstream
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ More info     │ https://npmjs.com/advisories/886
 │
 └───────────────┴──────────────────────────────────────────────────────────────┘


 # Run  npm update tar --depth 3  to resolve 1 vulnerability
 ┌───────────────┬──────────────────────────────────────────────────────────────┐
 │ High          │ Arbitrary File Overwrite
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Package       │ tar
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Dependency of │ node-sass [dev]
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ Path          │ node-sass > node-gyp > tar
 │
 ├───────────────┼──────────────────────────────────────────────────────────────┤
 │ More info     │ https://npmjs.com/advisories/803
 │
 └───────────────┴──────────────────────────────────────────────────────────────┘


 found 8 vulnerabilities (1 moderate, 7 high) in 6020 scanned packages
   run `npm audit fix` to fix 8 of them.
 }}}


 After applying the attached patch running `npm audit` again results in:

 {{{#!bash
                        === npm audit security report ===

 found 0 vulnerabilities
  in 6125 scanned packages
 }}}

 The patch updates the following packages versions:
 {{{
  @wordpress/browserslist-config  ^2.2.2  →   ^2.5.0
  autoprefixer                    ^9.1.5  →   ^9.6.0
  chokidar-cli                    ^1.2.1  →   ^1.2.2
  node-sass                       ^4.9.3  →  ^4.12.0
  postcss-cli                     ^6.0.1  →   ^6.1.2
 }}}

 After applyin the patch and running `npm build` the Twenty Nineteen theme
 style files are regenerated but there are no changes to any of the
 `style*.css` files.

-- 
Ticket URL: <https://core.trac.wordpress.org/ticket/47631>
WordPress Trac <https://core.trac.wordpress.org/>
WordPress publishing platform

More information about the wp-trac mailing list