Created
November 23, 2024 15:51
-
-
Save imichaelmoore/1de0bdb661c200e770b6fd284b7d9dd8 to your computer and use it in GitHub Desktop.
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| ➜ ~ git clone git@github.com:bluesky-social/pds.git | |
| Cloning into 'pds'... | |
| remote: Enumerating objects: 739, done. | |
| remote: Counting objects: 100% (211/211), done. | |
| remote: Compressing objects: 100% (97/97), done. | |
| remote: Total 739 (delta 144), reused 143 (delta 114), pack-reused 528 (from 1) | |
| Receiving objects: 100% (739/739), 505.07 KiB | 2.16 MiB/s, done. | |
| Resolving deltas: 100% (422/422), done. | |
| ➜ ~ cd pds/service | |
| ➜ service git:(main) git --no-pager log --decorate=short --pretty=oneline -n1 | |
| b595125a28368fa52d12d3b6ca265c1bea06977f (HEAD -> main, origin/main, origin/HEAD) Merge pull request #86 from rafaeleyng/add-smtp-doc | |
| ➜ service git:(main) pnpm audit | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ high │ ws affected by a DoS when handling a request with many │ | |
| │ │ HTTP headers │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ ws │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ >=8.0.0 <8.17.1 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=8.17.1 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-3h5v-q93c-6h6q │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ high │ Server-Side Request Forgery in axios │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ axios │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ >=1.3.2 <=1.7.3 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=1.7.4 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-8hc4-vh64-cxmj │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ high │ body-parser vulnerable to denial of service when url │ | |
| │ │ encoding is enabled │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ body-parser │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ <1.20.3 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=1.20.3 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-qwcr-r2fm-qrc7 │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ high │ path-to-regexp outputs backtracking regular │ | |
| │ │ expressions │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ path-to-regexp │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ <0.1.10 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=0.1.10 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-9wv6-86v2-598j │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ moderate │ Express.js Open Redirect in malformed URLs │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ express │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ <4.19.2 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=4.19.2 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-rv95-896h-c2vc │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ moderate │ follow-redirects' Proxy-Authorization header kept │ | |
| │ │ across hosts │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ follow-redirects │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ <=1.15.5 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=1.15.6 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-cxjh-pqwp-8mfp │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ moderate │ Axios Cross-Site Request Forgery Vulnerability │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ axios │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ >=0.8.1 <0.28.0 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=0.28.0 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-wf5p-g6vw-rhxx │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ moderate │ send vulnerable to template injection that can lead to │ | |
| │ │ XSS │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ send │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ <0.19.0 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=0.19.0 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-m6fv-jmcg-4jfg │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ moderate │ serve-static vulnerable to template injection that can │ | |
| │ │ lead to XSS │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ serve-static │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ <1.16.0 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=1.16.0 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-cm22-4g7w-348p │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ moderate │ express vulnerable to XSS via response.redirect() │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ express │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ <4.20.0 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=4.20.0 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-qw6h-vgh9-j6wx │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ low │ Elliptic's EDDSA missing signature length check │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ elliptic │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ >=4.0.0 <=6.5.6 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=6.5.7 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-f7q4-pwc6-w24p │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ low │ Elliptic's ECDSA missing check for whether leading bit │ | |
| │ │ of r and s is zero │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ elliptic │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ >=2.0.0 <=6.5.6 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=6.5.7 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-977x-g7h5-7qgw │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ low │ Elliptic allows BER-encoded signatures │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ elliptic │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ >=5.2.1 <=6.5.6 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=6.5.7 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-49q7-c7j4-3p7m │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ low │ cookie accepts cookie name, path, and domain with out │ | |
| │ │ of bounds characters │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ cookie │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ <0.7.0 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=0.7.0 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-pxg6-pf52-xh8x │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ low │ Elliptic's verify function omits uniqueness validation │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ elliptic │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ <6.5.6 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=6.5.6 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-434g-2637-qmqr │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| ┌─────────────────────┬────────────────────────────────────────────────────────┐ | |
| │ low │ Valid ECDSA signatures erroneously rejected in │ | |
| │ │ Elliptic │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Package │ elliptic │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Vulnerable versions │ <6.6.0 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Patched versions │ >=6.6.0 │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ Paths │ │ | |
| ├─────────────────────┼────────────────────────────────────────────────────────┤ | |
| │ More info │ https://github.com/advisories/GHSA-fc9h-whq2-v747 │ | |
| └─────────────────────┴────────────────────────────────────────────────────────┘ | |
| 17 vulnerabilities found | |
| Severity: 7 low | 6 moderate | 4 high |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment