SPDX ID:
SPDXRef-1Lizenz:
Apache-2.0Versionen:
2.2.0SPDX ID:
SPDXRef-2Lizenz:
MITVersionen:
0.1303.4SPDX ID:
SPDXRef-3Lizenz:
MITVersionen:
13.3.4SPDX ID:
SPDXRef-4Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-5Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-6Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-7Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-8Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-9Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-10Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-11Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-12Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-13Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-14Lizenz:
MITVersionen:
7.17.7SPDX ID:
SPDXRef-15Lizenz:
MITVersionen:
7.17.2SPDX ID:
SPDXRef-16Lizenz:
MITVersionen:
7.17.9SPDX ID:
SPDXRef-17Lizenz:
MITVersionen:
7.17.7SPDX ID:
SPDXRef-18Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-19Lizenz:
MITVersionen:
7.17.9SPDX ID:
SPDXRef-20Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-21Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-22Lizenz:
MITVersionen:
7.17.7SPDX ID:
SPDXRef-23Lizenz:
MITVersionen:
7.17.7SPDX ID:
SPDXRef-24Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-25Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-26Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-27Lizenz:
MITVersionen:
7.17.9SPDX ID:
SPDXRef-28Lizenz:
MITVersionen:
7.17.9SPDX ID:
SPDXRef-29Lizenz:
MITVersionen:
7.17.9SPDX ID:
SPDXRef-30Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-31Lizenz:
MITVersionen:
7.17.9SPDX ID:
SPDXRef-32Lizenz:
MITVersionen:
7.17.0SPDX ID:
SPDXRef-33Lizenz:
MITVersionen:
0.1.1SPDX ID:
SPDXRef-34Lizenz:
MITVersionen:
3.0.6SPDX ID:
SPDXRef-35Lizenz:
MITVersionen:
1.1.0SPDX ID:
SPDXRef-36Lizenz:
MITVersionen:
1.4.11SPDX ID:
SPDXRef-37Lizenz:
MITVersionen:
0.3.9SPDX ID:
SPDXRef-38Lizenz:
MITVersionen:
12.1.2SPDX ID:
SPDXRef-39Lizenz:
MITVersionen:
13.0.0SPDX ID:
SPDXRef-40Lizenz:
MITVersionen:
6.0.0SPDX ID:
SPDXRef-41Lizenz:
MITVersionen:
2.11.5SPDX ID:
SPDXRef-42Lizenz:
MITVersionen:
8.11.0SPDX ID:
SPDXRef-43Lizenz:
MITVersionen:
8.9.0SPDX ID:
SPDXRef-44Lizenz:
MITVersionen:
2.1.1SPDX ID:
SPDXRef-45Lizenz:
MITVersionen:
5.0.1SPDX ID:
SPDXRef-46Lizenz:
MITVersionen:
3.2.1SPDX ID:
SPDXRef-47Lizenz:
MITVersionen:
4.3.0SPDX ID:
SPDXRef-48Lizenz:
MITVersionen:
1.0.2SPDX ID:
SPDXRef-49Lizenz:
MITVersionen:
4.6.0SPDX ID:
SPDXRef-50Lizenz:
MITVersionen:
1.1.11SPDX ID:
SPDXRef-51Lizenz:
MITVersionen:
4.20.3SPDX ID:
SPDXRef-52Lizenz:
MITVersionen:
2.4.0SPDX ID:
SPDXRef-53Lizenz:
CC-BY-4.0Versionen:
1.0.30001334SPDX ID:
SPDXRef-54Lizenz:
MITVersionen:
2.4.2SPDX ID:
SPDXRef-55Lizenz:
ISCVersionen:
7.0.4SPDX ID:
SPDXRef-56Lizenz:
MITVersionen:
1.9.3SPDX ID:
SPDXRef-57Lizenz:
MITVersionen:
2.0.1SPDX ID:
SPDXRef-58Lizenz:
MITVersionen:
1.1.3SPDX ID:
SPDXRef-59Lizenz:
MITVersionen:
1.1.4SPDX ID:
SPDXRef-60Lizenz:
MITVersionen:
0.0.1SPDX ID:
SPDXRef-61Lizenz:
MITVersionen:
1.8.0SPDX ID:
SPDXRef-62Lizenz:
MITVersionen:
3.8.3SPDX ID:
SPDXRef-63Lizenz:
MITVersionen:
1.10.4SPDX ID:
SPDXRef-64Lizenz:
MITVersionen:
4.3.4SPDX ID:
SPDXRef-65Lizenz:
MITVersionen:
0.2.2SPDX ID:
SPDXRef-66Lizenz:
ISCVersionen:
1.4.124SPDX ID:
SPDXRef-67Lizenz:
MITVersionen:
8.0.0SPDX ID:
SPDXRef-68Lizenz:
MITVersionen:
3.1.1SPDX ID:
SPDXRef-69Lizenz:
MITVersionen:
1.0.5SPDX ID:
SPDXRef-70Lizenz:
MITVersionen:
3.1.3SPDX ID:
SPDXRef-71Lizenz:
MITVersionen:
2.1.0SPDX ID:
SPDXRef-72Lizenz:
MITVersionen:
1.1.0SPDX ID:
SPDXRef-73Lizenz:
ISCVersionen:
1.0.0SPDX ID:
SPDXRef-74Lizenz:
MITVersionen:
1.0.0-beta.2SPDX ID:
SPDXRef-75Lizenz:
ISCVersionen:
2.0.5SPDX ID:
SPDXRef-76Lizenz:
ISCVersionen:
7.2.0SPDX ID:
SPDXRef-77Lizenz:
MITVersionen:
11.12.0SPDX ID:
SPDXRef-78Lizenz:
MITVersionen:
3.0.0SPDX ID:
SPDXRef-79Lizenz:
ISCVersionen:
1.0.6SPDX ID:
SPDXRef-80Lizenz:
ISCVersionen:
2.0.4SPDX ID:
SPDXRef-81Lizenz:
MITVersionen:
3.0.0SPDX ID:
SPDXRef-82Lizenz:
MITVersionen:
3.6.2SPDX ID:
SPDXRef-83Lizenz:
MITVersionen:
4.0.0SPDX ID:
SPDXRef-84Lizenz:
MITVersionen:
2.5.2SPDX ID:
SPDXRef-85Lizenz:
MITVersionen:
1.0.0SPDX ID:
SPDXRef-86Lizenz:
MITVersionen:
2.2.2SPDX ID:
SPDXRef-87Lizenz:
MITVersionen:
0.25.7SPDX ID:
SPDXRef-88Lizenz:
ISCVersionen:
3.0.5SPDX ID:
SPDXRef-89Lizenz:
MITVersionen:
1.4.5SPDX ID:
SPDXRef-90Lizenz:
MITVersionen:
2.29.4SPDX ID:
SPDXRef-91Lizenz:
MITVersionen:
2.1.2SPDX ID:
SPDXRef-92Lizenz:
MITVersionen:
14.0.1SPDX ID:
SPDXRef-93Lizenz:
MITVersionen:
6.0.0SPDX ID:
SPDXRef-94Lizenz:
MITVersionen:
2.0.3SPDX ID:
SPDXRef-95Lizenz:
ISCVersionen:
1.4.0SPDX ID:
SPDXRef-96Lizenz:
MITVersionen:
1.0.1SPDX ID:
SPDXRef-97Lizenz:
ISCVersionen:
1.0.0SPDX ID:
SPDXRef-98Lizenz:
MITVersionen:
1.16.1SPDX ID:
SPDXRef-99Lizenz:
MITVersionen:
2.1.1SPDX ID:
SPDXRef-100Lizenz:
MITVersionen:
6.14.1SPDX ID:
SPDXRef-101Lizenz:
MITVersionen:
2.1.1SPDX ID:
SPDXRef-102Lizenz:
MITVersionen:
2.0.2SPDX ID:
SPDXRef-103Lizenz:
Apache-2.0Versionen:
6.6.7SPDX ID:
SPDXRef-104Lizenz:
MITVersionen:
5.1.2SPDX ID:
SPDXRef-105Lizenz:
ISCVersionen:
6.3.0SPDX ID:
SPDXRef-106Lizenz:
BSD-3-ClauseVersionen:
0.5.7SPDX ID:
SPDXRef-107Lizenz:
BSD-3-ClauseVersionen:
0.7.3SPDX ID:
SPDXRef-108Lizenz:
MITVersionen:
1.4.8SPDX ID:
SPDXRef-109Lizenz:
MITVersionen:
1.1.0SPDX ID:
SPDXRef-110Lizenz:
MITVersionen:
2.0.0SPDX ID:
SPDXRef-111Lizenz:
MITVersionen:
4.2.3SPDX ID:
SPDXRef-112Lizenz:
MITVersionen:
6.0.1SPDX ID:
SPDXRef-113Lizenz:
MITVersionen:
5.5.0SPDX ID:
SPDXRef-114Lizenz:
EUPL-1.2Versionen:
0.0.0SPDX ID:
SPDXRef-115Lizenz:
MITVersionen:
2.0.0SPDX ID:
SPDXRef-116Lizenz:
0BSDVersionen:
1.14.1SPDX ID:
SPDXRef-117Lizenz:
0BSDVersionen:
2.3.1SPDX ID:
SPDXRef-118Lizenz:
BSD-2-ClauseVersionen:
4.4.1SPDX ID:
SPDXRef-119Lizenz:
MITVersionen:
7.0.0SPDX ID:
SPDXRef-120Lizenz:
ISCVersionen:
1.0.2SPDX ID:
SPDXRef-121Lizenz:
ISCVersionen:
5.0.8SPDX ID:
SPDXRef-122Lizenz:
MITVersionen:
17.4.1SPDX ID:
SPDXRef-123Lizenz:
ISCVersionen:
21.0.1SPDX ID:
SPDXRef-124Lizenz:
MITVersionen:
0.11.4- Include CopyrightYou must include the copyright notice in all copies or substantial uses of the work.
- Include LicenseYou must include the license notice in all copies or substantial uses of the work.
- State ChangesStating significant changes made to software.
- Include NoticeIf the library has a "NOTICE" file with attribution notes, you must include that NOTICE when you distribute. You may append to this NOTICE file.
Attackers could trick execa into executing arbitrary binaries. This behaviour is caused by the setting `preferLocal=true` which makes execa search for locally installed binaries and executes them. This vulnerability is usually only exploitable when using execa on a client-side LOCAL application.
LösungUpgrade to version 2.0.0 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
execa:1.0.0qs before 6.10.3, as used in Express before 4.17.3 and other products, allows attackers to cause a Node process hang for an Express application because an __ proto__ key can be used. In many typical Express use cases, an unauthenticated remote attacker can place the attack payload in the query string of the URL that is used to visit the application, such as a[__proto__]=b&a[__proto__]&a[length]=100000000. The fix was backported to qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3, and 6.2.4 (and therefore Express 4.17.3, which has "deps: qs@6.9.7" in its release description, is not vulnerable).
LösungUpgrade to version 4.17.3 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
express:4.17.1This affects versions of the package http-cache-semantics before 4.1.1. The issue can be exploited via malicious request header values sent to a server, when that server reads the cache policy from the request using this library.
LösungUpgrade to version 4.1.1 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
http-cache-semantics:4.1.0JSON5 is an extension to the popular JSON file format that aims to be easier to write and maintain by hand (e.g. for config files). The `parse` method of the JSON5 library before and including version `2.2.1` does not restrict parsing of keys named `__proto__`, allowing specially crafted strings to pollute the prototype of the resulting object. This vulnerability pollutes the prototype of the object returned by `JSON5.parse` and not the global Object prototype, which is the commonly understood definition of Prototype Pollution. However, polluting the prototype of a single object can have significant security impact for an application if the object is later used in trusted operations. This vulnerability could allow an attacker to set arbitrary and unexpected keys on the object returned from `JSON5.parse`. The actual impact will depend on how applications utilize the returned object and how they filter unwanted keys, but could include denial of service, cross-site scripting, elevation of privilege, and in extreme cases, remote code execution. `JSON5.parse` should restrict parsing of `__proto__` keys when parsing JSON strings to objects. As a point of reference, the `JSON.parse` method included in JavaScript ignores `__proto__` keys. Simply changing `JSON5.parse` to `JSON.parse` in the examples above mitigates this vulnerability. This vulnerability is patched in json5 version 2.2.2 and later.
LösungUpgrade to versions 1.0.2, 2.2.2 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
json5:1.0.1A Regular expression denial of service (ReDoS) flaw was found in Function interpolateName in interpolateName.js in webpack loader-utils 2.0.0 via the resourcePath variable in interpolateName.js.
LösungUpgrade to versions 1.4.2, 2.0.4, 3.2.1 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
loader-utils:3.2.0A Regular expression denial of service (ReDoS) flaw was found in Function interpolateName in interpolateName.js in webpack loader-utils 2.0.0 via the url variable in `interpolateName.js`.
LösungUpgrade to versions 1.4.2, 2.0.4, 3.2.1 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
loader-utils:3.2.0qs before 6.10.3, as used in Express before 4.17.3 and other products, allows attackers to cause a Node process hang for an Express application because an __ proto__ key can be used. In many typical Express use cases, an unauthenticated remote attacker can place the attack payload in the query string of the URL that is used to visit the application, such as a[__proto__]=b&a[__proto__]&a[length]=100000000. The fix was backported to qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3, and 6.2.4 (and therefore Express 4.17.3, which has "deps: qs@6.9.7" in its release description, is not vulnerable).
LösungUpgrade to versions 6.2.4, 6.3.3, 6.8.3, 6.9.7, 6.10.3 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
qs:6.7.0qs before 6.10.3, as used in Express before 4.17.3 and other products, allows attackers to cause a Node process hang for an Express application because an __ proto__ key can be used. In many typical Express use cases, an unauthenticated remote attacker can place the attack payload in the query string of the URL that is used to visit the application, such as a[__proto__]=b&a[__proto__]&a[length]=100000000. The fix was backported to qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3, and 6.2.4 (and therefore Express 4.17.3, which has "deps: qs@6.9.7" in its release description, is not vulnerable).
LösungUpgrade to versions 6.2.4, 6.3.3, 6.8.3, 6.9.7, 6.10.3 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
qs:6.5.3The package terser before 4.8.1, from 5.0.0 and before 5.14.2 is vulnerable to Regular Expression Denial of Service (ReDoS) due to insecure usage of regular expressions.
LösungUpgrade to versions 4.8.1, 5.14.2 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
terser:5.11.0The got package before 12.1.0 (also fixed in 11.8.5) for Node.js allows a redirect to a UNIX socket.
LösungUpgrade to versions 11.8.5, 12.1.0 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
got:9.6.0cacheable-request depends on http-cache-semanttics, which contains an Inefficient Regular Expression Complexity in versions prior to 4.1.1 of that package. http-cache semantics contains an Inefficient Regular Expression Complexity, leading to Denial of Service. The issue can be exploited via malicious request header values sent to a server, when that server reads the cache policy from the request using this library.
LösungUpgrade to version 10.2.7 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
cacheable-request:6.1.0