PNPM Audit flags some dependencies in ADR as high risk. #59
Description
Hi, there are a couple of dependencies that are listed in this ADR packages that are getting flagged in a basic audit (in my case using PNPM). Can these be updated to their no-risk versions if possible? If not, then I think I'll have to move away from using it.
PNPM Audit
┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ sharp vulnerability in libwebp dependency │ │ │ CVE-2023-4863 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ sharp │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <0.32.6 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=0.32.6 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>adr>sharp │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-54xq-cgqr-rpm3 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ Command Injection in lodash │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ lodash.template │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <=4.5.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ <0.0.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>adr>markdown-toc>remarkable>autolinker>gulp- │ │ │ header>lodash.template │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-35jh-r3h4-6jhm │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ tar-fs can extract outside the specified dir with a │ │ │ specific tarball │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ tar-fs │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=2.0.0 <2.1.3 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=2.1.3 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>adr>sharp>tar-fs │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-8cj5-5rvv-wf4v │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ low │ Regular Expression Denial of Service in markdown │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ markdown │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=0.0.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ <0.0.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>adr>markdown │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-wx77-rp39-c6vg │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ low │ brace-expansion Regular Expression Denial of Service │ │ │ vulnerability │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ brace-expansion │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=1.0.0 <=1.1.11 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=1.1.12 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>adr>walk-sync>minimatch>brace-expansion │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-v6h2-p8h4-qcjw │ └─────────────────────┴────────────────────────────────────────────────────────┘