Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Vulnerabilities (Prototype Pollution in yargs-parser) after installation of @nrwl/react plugin #3105

Closed
martijnsenden opened this issue Jun 3, 2020 · 4 comments · Fixed by #3751
Closed

Vulnerabilities (Prototype Pollution in yargs-parser) after installation of @nrwl/react plugin #3105

martijnsenden opened this issue Jun 3, 2020 · 4 comments · Fixed by #3751
Assignees
@BigAB
Labels
outdated scope: react Issues related to React support for Nx type: bug

Comments

@martijnsenden
Copy link

Current Behavior

I ran npm install --save-dev @nrwl/react and at the end it finds 7 low severity vulnerabilities. When I run npm audit fix, none of these can be automatically fixed. When I run npm audit, I see that they are all related to Prototype pollution in yargs-parser. This is the output:

                                                                                
                       === npm audit security report ===                        
                                                                                
# Run  npm install --save-dev ts-jest@26.1.0  to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ts-jest [dev]                                                │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ ts-jest > yargs-parser                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/react [dev]                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/react > @nrwl/web > webpack-dev-server > yargs >       │
│               │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/web [dev]                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/web > webpack-dev-server > yargs > yargs-parser        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/workspace [dev]                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/workspace > @nrwl/cli > yargs > yargs-parser           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/workspace [dev]                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/workspace > yargs > yargs-parser                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/workspace [dev]                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/workspace > @nrwl/cli > yargs-parser                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/workspace [dev]                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/workspace > yargs-parser                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 7 low severity vulnerabilities in 1996 scanned packages
  1 vulnerability requires semver-major dependency updates.
  6 vulnerabilities require manual review. See the full report for details.

After searching a bit, I think I found that it is actually fixed in the latest version of yargs-parser, but that the new version has breaking changes. The vulnerability seems to be fixed in this PR and was reported in this issue. Other libraries using yargs-parser have similar issues, for example Gatsby.

Expected Behavior

I would expect Nx to use the fixed version of yargs-parser and to deal with any issues that may arise from the breaking changes in the new version.

Steps to Reproduce

Just install the react plugin into a new Nx project:

npm install --save-dev @nrwl/react

and read the output. Then try both npm audit and npm audit fix and read those outputs.

Environment

The output of nx report:

> NX Report complete - copy this into the issue template

  @nrwl/angular : Not Found
  @nrwl/cli : 9.2.2
  @nrwl/cypress : 9.2.2
  @nrwl/eslint-plugin-nx : 9.2.2
  @nrwl/express : Not Found
  @nrwl/jest : 9.2.2
  @nrwl/linter : 9.2.2
  @nrwl/nest : Not Found
  @nrwl/next : Not Found
  @nrwl/node : Not Found
  @nrwl/react : 9.2.2
  @nrwl/schematics : Not Found
  @nrwl/tao : 9.2.2
  @nrwl/web : 9.2.2
  @nrwl/workspace : 9.2.2
  typescript : 3.8.3
@wieddo
Copy link

wieddo commented Jun 9, 2020

This is also a problem for installations of nwrl/nx with Angular.

npm audit security report
Low Prototype Pollution

Package yargs-parser
Patched in >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2
Dependency of @nrwl/workspace [dev]
Path @nrwl/workspace > @nrwl/cli > yargs > yargs-parser
More info https://npmjs.com/advisories/1500

Low Prototype Pollution
Package yargs-parser
Patched in >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2
Dependency of @nrwl/workspace [dev]
Path @nrwl/workspace > yargs > yargs-parser
More info https://npmjs.com/advisories/1500

Low Prototype Pollution
Package yargs-parser
Patched in >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2
Dependency of @nrwl/workspace [dev]
Path @nrwl/workspace > @nrwl/cli > yargs-parser
More info https://npmjs.com/advisories/1500
Low Prototype Pollution

Package yargs-parser
Patched in >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2
Dependency of @nrwl/workspace [dev]
Path @nrwl/workspace > yargs-parser
More info https://npmjs.com/advisories/1500

found 4 low severity vulnerabilities in 1959 scanned packages
4 vulnerabilities require manual review. See the full report for details.

@vsavkin vsavkin added the scope: react Issues related to React support for Nx label Jul 8, 2020
@vsavkin vsavkin added this to the next milestone Jul 8, 2020
@BigAB BigAB self-assigned this Jul 31, 2020
@alexpthomasdev
Copy link

Now there are 4 new HIGH vulnerabilities.

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate      │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ marked                                                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=0.6.2                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @storybook/addon-info [dev]                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @storybook/addon-info > marksy > marked                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/812                             │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/react [dev]                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/react > @nrwl/web > webpack-dev-server > yargs >       │
│               │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/web [dev]                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/web > webpack-dev-server > yargs > yargs-parser        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/workspace [dev]                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/workspace > @nrwl/cli > yargs > yargs-parser           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/workspace [dev]                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/workspace > @nrwl/cli > yargs-parser                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/workspace [dev]                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/workspace > yargs > yargs-parser                       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/workspace [dev]                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/workspace > yargs-parser                               │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Remote Code Execution                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ serialize-javascript                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.1.0                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/react [dev]                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/react > @nrwl/web > copy-webpack-plugin >              │
│               │ serialize-javascript                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1548                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Remote Code Execution                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ serialize-javascript                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.1.0                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/web [dev]                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/web > copy-webpack-plugin > serialize-javascript       │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1548                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Remote Code Execution                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ serialize-javascript                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.1.0                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/react [dev]                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/react > @nrwl/web > terser-webpack-plugin >            │
│               │ serialize-javascript                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1548                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Remote Code Execution                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ serialize-javascript                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.1.0                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/web [dev]                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/web > terser-webpack-plugin > serialize-javascript     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1548                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 11 vulnerabilities (6 low, 1 moderate, 4 high) in 2498 scanned packages

@FrozenPandaz FrozenPandaz mentioned this issue Aug 21, 2020
Closed
@vsavkin vsavkin removed this from the next milestone Sep 10, 2020
bekos added a commit to bekos/nx that referenced this issue Sep 17, 2020
@bekos
fix(misc): upgrade version of yargs-parser
20d3f84 
ISSUES CLOSED: nrwl#3105
@bekos bekos mentioned this issue Sep 17, 2020
Merged
FrozenPandaz pushed a commit that referenced this issue Sep 17, 2020
@bekos
fix(misc): upgrade version of yargs-parser (#3751)
c510cdd 
ISSUES CLOSED: #3105
FrozenPandaz pushed a commit that referenced this issue Sep 17, 2020
@bekos @FrozenPandaz
fix(misc): upgrade version of yargs-parser (#3751)
156dd33 
ISSUES CLOSED: #3105
vivekmore pushed a commit to vivekmore/nx that referenced this issue Sep 19, 2020
@bekos @vivekmore
fix(misc): upgrade version of yargs-parser (nrwl#3751)
8e954c3 
ISSUES CLOSED: nrwl#3105
@puku0x
Copy link
Contributor

puku0x commented Sep 21, 2020

v10.2.1 has four remaining vulnerabilities.

% npm audit
                                                                                
                       === npm audit security report ===                        
                                                                                
┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/react [dev]                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/react > @nrwl/web > webpack-dev-server > yargs >       │
│               │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=13.1.2 <14.0.0 || >=15.0.1 <16.0.0 || >=18.1.2             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/web [dev]                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/web > webpack-dev-server > yargs > yargs-parser        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Remote Code Execution                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ serialize-javascript                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.1.0                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/react [dev]                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/react > @nrwl/web > terser-webpack-plugin >            │
│               │ serialize-javascript                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1548                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Remote Code Execution                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ serialize-javascript                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=3.1.0                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @nrwl/web [dev]                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @nrwl/web > terser-webpack-plugin > serialize-javascript     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1548                            │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 4 vulnerabilities (2 low, 2 high) in 2160 scanned packages
  4 vulnerabilities require manual review. See the full report for details.

Doginal pushed a commit to Doginal/nx that referenced this issue Nov 25, 2020
@bekos @Doginal
fix(misc): upgrade version of yargs-parser (nrwl#3751)
3ff8a02 
ISSUES CLOSED: nrwl#3105
@github-actions
Copy link

This issue has been closed for more than 30 days. If this issue is still occuring, please open a new issue with more recent context.

@github-actions github-actions bot locked as resolved and limited conversation to collaborators Mar 24, 2023
Sign up for free to subscribe to this conversation on GitHub. Already have an account? Sign in.
Assignees

@BigAB BigAB

Labels
outdated scope: react Issues related to React support for Nx type: bug
Projects
None yet
Milestone
No milestone
6 participants
@vsavkin @BigAB @martijnsenden @puku0x @wieddo @alexpthomasdev