Security vulnerability for yargs-parser

Open princjef opened this issue 4 years ago • 0 comments

When running npm audit in a project using this package, a vulnerability comes up for yargs-parser.

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ oav [dev]                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ oav > yargs > yargs-parser                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

The vulnerability has been fixed in yargs-parser for a while, but this package still depends on v6 of yargs from ~4 years ago. Any chance yargs can be updated to a newer version to resolve the vulnerability?

Mar 04 '21 21:03 princjef