SPDX ID:
SPDXRef-1Lizenz:
Apache-2.0Versionen:
2.2.0SPDX ID:
SPDXRef-2Lizenz:
MITVersionen:
0.1303.4SPDX ID:
SPDXRef-3Lizenz:
MITVersionen:
13.3.4SPDX ID:
SPDXRef-4Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-5Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-6Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-7Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-8Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-9Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-10Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-11Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-12Lizenz:
MITVersionen:
13.3.5SPDX ID:
SPDXRef-13Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-14Lizenz:
MITVersionen:
7.17.7SPDX ID:
SPDXRef-15Lizenz:
MITVersionen:
7.17.2SPDX ID:
SPDXRef-16Lizenz:
MITVersionen:
7.17.9SPDX ID:
SPDXRef-17Lizenz:
MITVersionen:
7.17.7SPDX ID:
SPDXRef-18Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-19Lizenz:
MITVersionen:
7.17.9SPDX ID:
SPDXRef-20Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-21Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-22Lizenz:
MITVersionen:
7.17.7SPDX ID:
SPDXRef-23Lizenz:
MITVersionen:
7.17.7SPDX ID:
SPDXRef-24Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-25Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-26Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-27Lizenz:
MITVersionen:
7.17.9SPDX ID:
SPDXRef-28Lizenz:
MITVersionen:
7.17.9SPDX ID:
SPDXRef-29Lizenz:
MITVersionen:
7.17.9SPDX ID:
SPDXRef-30Lizenz:
MITVersionen:
7.16.7SPDX ID:
SPDXRef-31Lizenz:
MITVersionen:
7.17.9SPDX ID:
SPDXRef-32Lizenz:
MITVersionen:
7.17.0SPDX ID:
SPDXRef-33Lizenz:
MITVersionen:
0.1.1SPDX ID:
SPDXRef-34Lizenz:
MITVersionen:
3.0.6SPDX ID:
SPDXRef-35Lizenz:
MITVersionen:
1.1.0SPDX ID:
SPDXRef-36Lizenz:
MITVersionen:
1.4.11SPDX ID:
SPDXRef-37Lizenz:
MITVersionen:
0.3.9SPDX ID:
SPDXRef-38Lizenz:
MITVersionen:
12.1.2SPDX ID:
SPDXRef-39Lizenz:
MITVersionen:
13.0.0SPDX ID:
SPDXRef-40Lizenz:
MITVersionen:
6.0.0SPDX ID:
SPDXRef-41Lizenz:
MITVersionen:
2.11.5SPDX ID:
SPDXRef-42Lizenz:
MITVersionen:
8.11.0SPDX ID:
SPDXRef-43Lizenz:
MITVersionen:
8.9.0SPDX ID:
SPDXRef-44Lizenz:
MITVersionen:
2.1.1SPDX ID:
SPDXRef-45Lizenz:
MITVersionen:
5.0.1SPDX ID:
SPDXRef-46Lizenz:
MITVersionen:
3.2.1SPDX ID:
SPDXRef-47Lizenz:
MITVersionen:
4.3.0SPDX ID:
SPDXRef-48Lizenz:
MITVersionen:
1.0.2SPDX ID:
SPDXRef-49Lizenz:
MITVersionen:
4.6.0SPDX ID:
SPDXRef-50Lizenz:
MITVersionen:
1.1.11SPDX ID:
SPDXRef-51Lizenz:
MITVersionen:
4.20.3SPDX ID:
SPDXRef-52Lizenz:
MITVersionen:
2.4.0SPDX ID:
SPDXRef-53Lizenz:
CC-BY-4.0Versionen:
1.0.30001334SPDX ID:
SPDXRef-54Lizenz:
MITVersionen:
2.4.2SPDX ID:
SPDXRef-55Lizenz:
ISCVersionen:
7.0.4SPDX ID:
SPDXRef-56Lizenz:
MITVersionen:
1.9.3SPDX ID:
SPDXRef-57Lizenz:
MITVersionen:
2.0.1SPDX ID:
SPDXRef-58Lizenz:
MITVersionen:
1.1.3SPDX ID:
SPDXRef-59Lizenz:
MITVersionen:
1.1.4SPDX ID:
SPDXRef-60Lizenz:
MITVersionen:
0.0.1SPDX ID:
SPDXRef-61Lizenz:
MITVersionen:
1.8.0SPDX ID:
SPDXRef-62Lizenz:
MITVersionen:
3.8.3SPDX ID:
SPDXRef-63Lizenz:
MITVersionen:
1.10.4SPDX ID:
SPDXRef-64Lizenz:
MITVersionen:
4.3.4SPDX ID:
SPDXRef-65Lizenz:
MITVersionen:
0.2.0SPDX ID:
SPDXRef-66Lizenz:
ISCVersionen:
1.4.124SPDX ID:
SPDXRef-67Lizenz:
MITVersionen:
8.0.0SPDX ID:
SPDXRef-68Lizenz:
MITVersionen:
3.1.1SPDX ID:
SPDXRef-69Lizenz:
MITVersionen:
1.0.5SPDX ID:
SPDXRef-70Lizenz:
MITVersionen:
3.1.3SPDX ID:
SPDXRef-71Lizenz:
MITVersionen:
2.1.0SPDX ID:
SPDXRef-72Lizenz:
MITVersionen:
1.1.0SPDX ID:
SPDXRef-73Lizenz:
ISCVersionen:
1.0.0SPDX ID:
SPDXRef-74Lizenz:
MITVersionen:
1.0.0-beta.2SPDX ID:
SPDXRef-75Lizenz:
ISCVersionen:
2.0.5SPDX ID:
SPDXRef-76Lizenz:
ISCVersionen:
7.2.0SPDX ID:
SPDXRef-77Lizenz:
MITVersionen:
11.12.0SPDX ID:
SPDXRef-78Lizenz:
MITVersionen:
3.0.0SPDX ID:
SPDXRef-79Lizenz:
ISCVersionen:
1.0.6SPDX ID:
SPDXRef-80Lizenz:
ISCVersionen:
2.0.4SPDX ID:
SPDXRef-81Lizenz:
MITVersionen:
3.0.0SPDX ID:
SPDXRef-82Lizenz:
MITVersionen:
3.6.0SPDX ID:
SPDXRef-83Lizenz:
MITVersionen:
4.0.0SPDX ID:
SPDXRef-84Lizenz:
MITVersionen:
2.5.2SPDX ID:
SPDXRef-85Lizenz:
MITVersionen:
1.0.0SPDX ID:
SPDXRef-86Lizenz:
MITVersionen:
2.2.1SPDX ID:
SPDXRef-87Lizenz:
MITVersionen:
0.25.7SPDX ID:
SPDXRef-88Lizenz:
ISCVersionen:
3.0.5SPDX ID:
SPDXRef-89Lizenz:
MITVersionen:
1.4.5SPDX ID:
SPDXRef-90Lizenz:
MITVersionen:
2.29.4SPDX ID:
SPDXRef-91Lizenz:
MITVersionen:
2.1.2SPDX ID:
SPDXRef-92Lizenz:
MITVersionen:
14.0.1SPDX ID:
SPDXRef-93Lizenz:
MITVersionen:
6.0.0SPDX ID:
SPDXRef-94Lizenz:
MITVersionen:
2.0.3SPDX ID:
SPDXRef-95Lizenz:
ISCVersionen:
1.4.0SPDX ID:
SPDXRef-96Lizenz:
MITVersionen:
1.0.1SPDX ID:
SPDXRef-97Lizenz:
ISCVersionen:
1.0.0SPDX ID:
SPDXRef-98Lizenz:
MITVersionen:
1.16.1SPDX ID:
SPDXRef-99Lizenz:
MITVersionen:
2.1.1SPDX ID:
SPDXRef-100Lizenz:
MITVersionen:
6.14.1SPDX ID:
SPDXRef-101Lizenz:
MITVersionen:
2.1.1SPDX ID:
SPDXRef-102Lizenz:
MITVersionen:
2.0.2SPDX ID:
SPDXRef-103Lizenz:
Apache-2.0Versionen:
6.6.7SPDX ID:
SPDXRef-104Lizenz:
MITVersionen:
5.1.2SPDX ID:
SPDXRef-105Lizenz:
ISCVersionen:
6.3.0SPDX ID:
SPDXRef-106Lizenz:
BSD-3-ClauseVersionen:
0.5.7SPDX ID:
SPDXRef-107Lizenz:
BSD-3-ClauseVersionen:
0.7.3SPDX ID:
SPDXRef-108Lizenz:
MITVersionen:
1.4.8SPDX ID:
SPDXRef-109Lizenz:
MITVersionen:
1.1.0SPDX ID:
SPDXRef-110Lizenz:
MITVersionen:
2.0.0SPDX ID:
SPDXRef-111Lizenz:
MITVersionen:
4.2.3SPDX ID:
SPDXRef-112Lizenz:
MITVersionen:
6.0.1SPDX ID:
SPDXRef-113Lizenz:
MITVersionen:
5.5.0SPDX ID:
SPDXRef-114Lizenz:
EUPL-1.2Versionen:
0.0.0-devSPDX ID:
SPDXRef-115Lizenz:
MITVersionen:
2.0.0SPDX ID:
SPDXRef-116Lizenz:
0BSDVersionen:
1.14.1SPDX ID:
SPDXRef-117Lizenz:
0BSDVersionen:
2.3.1SPDX ID:
SPDXRef-118Lizenz:
BSD-2-ClauseVersionen:
4.4.1SPDX ID:
SPDXRef-119Lizenz:
MITVersionen:
7.0.0SPDX ID:
SPDXRef-120Lizenz:
ISCVersionen:
1.0.2SPDX ID:
SPDXRef-121Lizenz:
ISCVersionen:
5.0.8SPDX ID:
SPDXRef-122Lizenz:
MITVersionen:
17.4.1SPDX ID:
SPDXRef-123Lizenz:
ISCVersionen:
21.0.1SPDX ID:
SPDXRef-124Lizenz:
MITVersionen:
0.11.4- Include CopyrightYou must include the copyright notice in all copies or substantial uses of the work.
- Include LicenseYou must include the license notice in all copies or substantial uses of the work.
- State ChangesStating significant changes made to software.
- Include NoticeIf the library has a "NOTICE" file with attribution notes, you must include that NOTICE when you distribute. You may append to this NOTICE file.
Attackers could trick execa into executing arbitrary binaries. This behaviour is caused by the setting `preferLocal=true` which makes execa search for locally installed binaries and executes them. This vulnerability is usually only exploitable when using execa on a client-side LOCAL application.
LösungUpgrade to version 2.0.0 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
execa:1.0.0qs before 6.10.3, as used in Express before 4.17.3 and other products, allows attackers to cause a Node process hang for an Express application because an __ proto__ key can be used. In many typical Express use cases, an unauthenticated remote attacker can place the attack payload in the query string of the URL that is used to visit the application, such as a[__proto__]=b&a[__proto__]&a[length]=100000000. The fix was backported to qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3, and 6.2.4 (and therefore Express 4.17.3, which has "deps: qs@6.9.7" in its release description, is not vulnerable).
LösungUpgrade to version 4.17.3 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
express:4.17.1A Regular expression denial of service (ReDoS) flaw was found in Function interpolateName in interpolateName.js in webpack loader-utils 2.0.0 via the resourcePath variable in interpolateName.js.
LösungUpgrade to versions 1.4.2, 2.0.4, 3.2.1 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
loader-utils:3.2.0A Regular expression denial of service (ReDoS) flaw was found in Function interpolateName in interpolateName.js in webpack loader-utils 2.0.0 via the url variable in `interpolateName.js`.
LösungUpgrade to versions 1.4.2, 2.0.4, 3.2.1 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
loader-utils:3.2.0qs before 6.10.3, as used in Express before 4.17.3 and other products, allows attackers to cause a Node process hang for an Express application because an __ proto__ key can be used. In many typical Express use cases, an unauthenticated remote attacker can place the attack payload in the query string of the URL that is used to visit the application, such as a[__proto__]=b&a[__proto__]&a[length]=100000000. The fix was backported to qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3, and 6.2.4 (and therefore Express 4.17.3, which has "deps: qs@6.9.7" in its release description, is not vulnerable).
LösungUpgrade to versions 6.2.4, 6.3.3, 6.8.3, 6.9.7, 6.10.3 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
qs:6.5.3qs before 6.10.3, as used in Express before 4.17.3 and other products, allows attackers to cause a Node process hang for an Express application because an __ proto__ key can be used. In many typical Express use cases, an unauthenticated remote attacker can place the attack payload in the query string of the URL that is used to visit the application, such as a[__proto__]=b&a[__proto__]&a[length]=100000000. The fix was backported to qs 6.9.7, 6.8.3, 6.7.3, 6.6.1, 6.5.3, 6.4.1, 6.3.3, and 6.2.4 (and therefore Express 4.17.3, which has "deps: qs@6.9.7" in its release description, is not vulnerable).
LösungUpgrade to versions 6.2.4, 6.3.3, 6.8.3, 6.9.7, 6.10.3 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
qs:6.7.0The package terser before 4.8.1, from 5.0.0 and before 5.14.2 is vulnerable to Regular Expression Denial of Service (ReDoS) due to insecure usage of regular expressions.
LösungUpgrade to versions 4.8.1, 5.14.2 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
terser:5.11.0The got package before 12.1.0 (also fixed in 11.8.5) for Node.js allows a redirect to a UNIX socket.
LösungUpgrade to versions 11.8.5, 12.1.0 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
got:9.6.0glob-parent before 6.0.1 and 5.1.2 is vulnerable to Regular Expression Denial of Service (ReDoS). This issue is fixed in version 6.0.1 and 5.1.2.
LösungUpgrade to versions 5.1.2, 6.0.1 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
glob-parent:3.1.0### Impact * if Alice uses `grunt data` (or `grunt release`) to prepare a custom-build, moment-timezone with the latest tzdata from IANA's website * and Mallory intercepts the request to IANA's unencrypted ftp server, Mallory can serve data which might exploit further stages of the moment-timezone tzdata pipeline, or potentially produce a tainted version of moment-timezone (practicality of such attacks is not proved) ### Patches Problem has been patched in version 0.5.35, patch should be applicable with minor modifications to all affected versions. The patch includes changing the FTP endpoint with an HTTPS endpoint. ### Workarounds Specify the exact version of tzdata (like `2014d`, full command being `grunt data:2014d`, then run the rest of the release tasks by hand), or just apply the patch before issuing the grunt command.
LösungUpgrade to version 0.5.35 or above.
IdentifikatorenDetailsScanner:
GemnasiumVulnerable Package:
moment-timezone:0.5.32