[
https://issues.apache.org/jira/browse/YUNIKORN-3172?page=com.atlassian.jira.plugin.system.issuetabpanels:comment-tabpanel&focusedCommentId=18041719#comment-18041719
]
Shubham Mishra commented on YUNIKORN-3172:
------------------------------------------
[~wilfreds] - our internal 3PP vulnerability scanner flagged YK web for this
*[CVE-2025-66035|https://nvd.nist.gov/vuln/detail/CVE-2025-66035]*
Have a [PR|https://github.com/apache/yunikorn-web/pull/240] to fix this.
{code:java}
npm audit{code}
show few more vulnerabilities, lmk if we need to take a stab at these as well:
{code:java}
Now using node v20.19.6 (npm v10.8.2)
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high │ tar-fs has a symlink validation bypass if destination │
│ │ directory is predictable with a specific tarball │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ tar-fs │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=3.0.0 <3.1.1 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=3.1.1 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ . > [email protected] > @puppeteer/[email protected] > │
│ │ [email protected] │
│ │ │
│ │ . > [email protected] > [email protected] > │
│ │ @puppeteer/[email protected] > [email protected] │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-vj76-c3g6-qr5v │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high │ tar-fs can extract outside the specified dir with a │
│ │ specific tarball │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ tar-fs │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=3.0.0 <3.0.9 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=3.0.9 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ . > [email protected] > @puppeteer/[email protected] > │
│ │ [email protected] │
│ │ │
│ │ . > [email protected] > [email protected] > │
│ │ @puppeteer/[email protected] > [email protected] │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8cj5-5rvv-wf4v │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high │ glob CLI: Command injection via -c/--cmd executes │
│ │ matches with shell:true │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ glob │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=10.2.0 <10.5.0 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=10.5.0 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ . > @angular/[email protected] > [email protected] > │
│ │ @npmcli/[email protected] > [email protected] │
│ │ │
│ │ . > @angular/[email protected] > [email protected] > │
│ │ @npmcli/[email protected] > @npmcli/[email protected] │
│ │ > [email protected] │
│ │ │
│ │ . > @angular/[email protected] > [email protected] > │
│ │ @npmcli/[email protected] > [email protected] > │
│ │ [email protected] > [email protected] > │
│ │ [email protected] │
│ │ │
│ │ ... Found 7 paths, run `pnpm why glob` for more │
│ │ information │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-5j98-mcp5-4vw2 │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate │ js-yaml has prototype pollution in merge (<<) │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ js-yaml │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=4.0.0 <4.1.1 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=4.1.1 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ . > [email protected] > [email protected] > │
│ │ [email protected] │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-mh29-5h37-fv8m │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ low │ brace-expansion Regular Expression Denial of Service │
│ │ vulnerability │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ brace-expansion │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=1.0.0 <=1.1.11 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=1.1.12 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ . > @angular/[email protected] > [email protected] > [email protected] │
│ │ > [email protected] > [email protected] │
│ │ │
│ │ . > @angular/[email protected] > [email protected] > │
│ │ [email protected] > [email protected] │
│ │ │
│ │ . > @angular/[email protected] > [email protected] > │
│ │ [email protected] > [email protected] > [email protected] > │
│ │ [email protected] │
│ │ │
│ │ ... Found 24 paths, run `pnpm why brace-expansion` for │
│ │ more information │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-v6h2-p8h4-qcjw │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ low │ brace-expansion Regular Expression Denial of Service │
│ │ vulnerability │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ brace-expansion │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=2.0.0 <=2.0.1 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=2.0.2 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ . > @angular/[email protected] > [email protected] > │
│ │ @npmcli/[email protected] > [email protected] > │
│ │ [email protected] > [email protected] │
│ │ │
│ │ . > @angular/[email protected] > [email protected] > │
│ │ @npmcli/[email protected] > @npmcli/[email protected] │
│ │ > [email protected] > [email protected] > │
│ │ [email protected] │
│ │ │
│ │ . > @angular/[email protected] > [email protected] > │
│ │ @npmcli/[email protected] > [email protected] > │
│ │ [email protected] > [email protected] > │
│ │ [email protected] > [email protected] > [email protected] │
│ │ │
│ │ ... Found 9 paths, run `pnpm why brace-expansion` for │
│ │ more information │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-v6h2-p8h4-qcjw │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ low │ on-headers is vulnerable to http response header │
│ │ manipulation │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ on-headers │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <1.1.0 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=1.1.0 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ . > [email protected] > [email protected] > │
│ │ [email protected] │
│ │ │
│ │ . > [email protected] > [email protected] > │
│ │ [email protected] │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-76c9-3jph-rj3q │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ low │ tmp allows arbitrary temporary file / directory write │
│ │ via symbolic link `dir` parameter │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ tmp │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=0.2.3 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=0.2.4 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ . > @angular/[email protected] > [email protected] > [email protected] │
│ │ │
│ │ . > [email protected] > [email protected] │
│ │ │
│ │ . > [email protected] > [email protected] > [email protected] │
│ │ │
│ │ ... Found 7 paths, run `pnpm why tmp` for more │
│ │ information │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-52f5-9888-hmc6 │
└─────────────────────┴────────────────────────────────────────────────────────┘
{code}
> Web UI: dependency updates for CVEs
> -----------------------------------
>
> Key: YUNIKORN-3172
> URL: https://issues.apache.org/jira/browse/YUNIKORN-3172
> Project: Apache YuniKorn
> Issue Type: Task
> Components: webapp
> Reporter: Wilfred Spiegelenburg
> Priority: Major
>
> Fix dependabot tagged security issues in the webapp
--
This message was sent by Atlassian Jira
(v8.20.10#820010)
