transitive dependency of a moderatly vulnerable version of nanoid #1908
Description
Describe the bug
some loopback components depends on a vulnerable version of nanoid from loopback-datasource-juggler dependencies
Logs
=== npm audit security report ===
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │
│ │ in nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.1.31 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @loopback/repository │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @loopback/repository > loopback-datasource-juggler > shortid │
│ │ > nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qrpm-p2h7-hrv2 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │
│ │ in nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.1.31 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @loopback/boot │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @loopback/boot > @loopback/repository > │
│ │ loopback-datasource-juggler > shortid > nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qrpm-p2h7-hrv2 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │
│ │ in nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.1.31 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ad569a050a8ea12038da5f35d4d4e6f7cc4ecc4f5b5b1b980db751820ea… │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ad569a050a8ea12038da5f35d4d4e6f7cc4ecc4f5b5b1b980db751820ea… │
│ │ > │
│ │ eface3a80d4c7653fd276752486045e0ead664f893b0af3ee2b2f1d1ab8… │
│ │ > @loopback/repository > loopback-datasource-juggler > │
│ │ shortid > nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qrpm-p2h7-hrv2 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 3 moderate severity vulnerabilities in 319 scanned packages
3 vulnerabilities require manual review. See the full report for details.Additional information
No response
Reproduction
just run npm audit