Security vulnerabilities in generator-loopback

[MelleB]

nsp check fails on the open@0.0.5 dependency.
Repository of the open package suggests to migrate to opn

Description/Steps to reproduce

$ yarn run nsp check
┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐
│               │ Command Injection                                                               │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Name          │ open                                                                            │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ CVSS          │ 10 (Critical)                                                                   │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Installed     │ 0.0.5                                                                           │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ All                                                                             │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Patched       │ None                                                                            │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Path          │ data-api@1.0.0 > loopback-cli@4.2.0 > generator-loopback@5.8.0 > open@0.0.5     │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/663                                          │
└───────────────┴─────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐
│               │ Prototype pollution attack                                                      │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Name          │ hoek                                                                            │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ CVSS          │ 4 (Medium)                                                                      │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Installed     │ 2.16.3                                                                          │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ <= 4.2.0 || >= 5.0.0 < 5.0.3                                                    │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Patched       │ > 4.2.0 < 5.0.0 || >= 5.0.3                                                     │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Path          │ data-api@1.0.0 > loopback-cli@4.2.0 > generator-loopback@5.8.0 > zosconnect-no… │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/566                                          │
└───────────────┴─────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐
│               │ Prototype Pollution                                                             │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Name          │ lodash                                                                          │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ CVSS          │ 2 (Low)                                                                         │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Installed     │ 3.10.1                                                                          │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ <4.17.5                                                                         │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Patched       │ >=4.17.5                                                                        │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Path          │ data-api@1.0.0 > loopback-cli@4.2.0 > generator-loopback@5.8.0 > yeoman-genera… │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/577                                          │
└───────────────┴─────────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬─────────────────────────────────────────────────────────────────────────────────┐
│               │ Prototype Pollution                                                             │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Name          │ deep-extend                                                                     │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ CVSS          │ 2 (Low)                                                                         │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Installed     │ 0.4.2                                                                           │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Vulnerable    │ <=0.5.0                                                                         │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Patched       │ >=0.5.1                                                                         │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ Path          │ data-api@1.0.0 > loopback-cli@4.2.0 > generator-loopback@5.8.0 > yeoman-genera… │
├───────────────┼─────────────────────────────────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/612                                          │
└───────────────┴─────────────────────────────────────────────────────────────────────────────────┘

[dhmlau]

@virkt25 @bajtos , could you PTAL?

[bajtos]

Thank you @MelleB for reporting this problem and offering a better alternative to open.

I opened a pull request to upgrade from open to opn, see #353

The prototype-pollution issues in lodash coming through yeoman-generator will be difficult to address. We use yeoman-generator in a way that's not very well supported these days, upgrades are cumbersome. Considering Low severity of this vulnerability, I am not sure if we will find time to upgrade yeoman-generator anytime soon.

The last remaining security vulnerability is coming through zosconnect-node, which is maintained by a different IBM team. I'll work with them to get this addressed, see zosconnect/zosconnect-node#27

[bajtos]

The prototype-pollution issues in lodash coming through yeoman-generator will be difficult to address. We use yeoman-generator in a way that's not very well supported these days, upgrades are cumbersome. Considering Low severity of this vulnerability, I am not sure if we will find time to upgrade yeoman-generator anytime soon.

I opened a new issue to keep track of this work, see #355

open and hoek vulnerabilities have been fixed by dependency updates

$ npm i generator-loopback
(...)
+ generator-loopback@5.8.1
added 783 packages from 894 contributors and audited 5482 packages in 39.897s
found 2 low severity vulnerabilities
  run `npm audit fix` to fix them, or `npm audit` for details