Describe the bug
some loopback components depends on a vulnerable version of nanoid from loopback-datasource-juggler dependencies
Logs
=== npm audit security report ===
┌──────────────────────────────────────────────────────────────────────────────┐
│ Manual Review │
│ Some vulnerabilities require your attention to resolve │
│ │
│ Visit https://go.npm.me/audit-guide for additional guidance │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │
│ │ in nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.1.31 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @loopback/repository │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @loopback/repository > loopback-datasource-juggler > shortid │
│ │ > nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qrpm-p2h7-hrv2 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │
│ │ in nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.1.31 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @loopback/boot │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @loopback/boot > @loopback/repository > │
│ │ loopback-datasource-juggler > shortid > nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qrpm-p2h7-hrv2 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │
│ │ in nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=3.1.31 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ad569a050a8ea12038da5f35d4d4e6f7cc4ecc4f5b5b1b980db751820ea… │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ad569a050a8ea12038da5f35d4d4e6f7cc4ecc4f5b5b1b980db751820ea… │
│ │ > │
│ │ eface3a80d4c7653fd276752486045e0ead664f893b0af3ee2b2f1d1ab8… │
│ │ > @loopback/repository > loopback-datasource-juggler > │
│ │ shortid > nanoid │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qrpm-p2h7-hrv2 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 3 moderate severity vulnerabilities in 319 scanned packages
3 vulnerabilities require manual review. See the full report for details.Additional information
No response
Reproduction
just run npm audit
Describe the bug
some loopback components depends on a vulnerable version of nanoid from loopback-datasource-juggler dependencies
Logs
=== npm audit security report === ┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │ │ │ in nanoid │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ nanoid │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=3.1.31 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @loopback/repository │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @loopback/repository > loopback-datasource-juggler > shortid │ │ │ > nanoid │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-qrpm-p2h7-hrv2 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │ │ │ in nanoid │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ nanoid │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=3.1.31 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ @loopback/boot │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ @loopback/boot > @loopback/repository > │ │ │ loopback-datasource-juggler > shortid > nanoid │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-qrpm-p2h7-hrv2 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Moderate │ Exposure of Sensitive Information to an Unauthorized Actor │ │ │ in nanoid │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ nanoid │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=3.1.31 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ ad569a050a8ea12038da5f35d4d4e6f7cc4ecc4f5b5b1b980db751820ea… │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ ad569a050a8ea12038da5f35d4d4e6f7cc4ecc4f5b5b1b980db751820ea… │ │ │ > │ │ │ eface3a80d4c7653fd276752486045e0ead664f893b0af3ee2b2f1d1ab8… │ │ │ > @loopback/repository > loopback-datasource-juggler > │ │ │ shortid > nanoid │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-qrpm-p2h7-hrv2 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 3 moderate severity vulnerabilities in 319 scanned packages 3 vulnerabilities require manual review. See the full report for details.Additional information
No response
Reproduction
just run npm audit