Skip to content

Security Exploits! Prototype Pollution in node-forge & node-fetch #4851

New issue
New issue
Closed
#4871
Closed
Security Exploits! Prototype Pollution in node-forge & node-fetch#4851
#4871
Assignees
schmidt-sebastian
Labels
api: firestore
@OZZlE

Description

@OZZlE
OZZlE
opened on Apr 29, 2021

[REQUIRED] Describe your environment

  • Operating System version: MacOs 10.15.7
  • Browser version: N/A (Not related)
  • Firebase SDK version: 8.4.2
  • Firebase Product: auth

[REQUIRED] Describe the problem

Steps to reproduce:

nvm use 14.9 || (nvm install 14.9 && nvm use 14.9)
yarn add [email protected] # latest version
yarn audit

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ low           │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-fetch                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ firebase                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ firebase > @firebase/firestore > @grpc/grpc-js >             │
│               │ google-auth-library > gaxios > node-fetch                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1556                        │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ low           │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-fetch                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ firebase                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ firebase > @firebase/firestore > @grpc/grpc-js >             │
│               │ google-auth-library > gcp-metadata > gaxios > node-fetch     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1556                        │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ low           │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-fetch                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ firebase                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ firebase > @firebase/firestore > @grpc/grpc-js >             │
│               │ google-auth-library > gtoken > gaxios > node-fetch           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1556                        │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high          │ Prototype Pollution in node-forge                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ node-forge                                                   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >= 0.10.0                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ firebase                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ firebase > @firebase/firestore > @grpc/grpc-js >             │
│               │ google-auth-library > gtoken > google-p12-pem > node-forge   │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1561                        │
└───────────────┴──────────────────────────────────────────────────────────────┘

Suggested solution

update @grpc/grpc-js

Metadata

Metadata

Assignees

Labels

api: firestore

Type

No type

Projects

No projects

Milestone

No milestone

Relationships

None yet

Development

No branches or pull requests

Issue actions