Npm install packages causing security vulnerabilities

I’m not sure if the maintainers of the npm packages are on here, but there are vulnerabilities caused by dependancies on broken versions of lodash, axios, and minimist. The affected installers are
@tomtom-international/web-sdk-maps and @tomtom-international/web-sdk-services
Following is the results of npm audit

                           Manual Review                                 │

│ Some vulnerabilities require your attention to resolve │
│ │

└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.11 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @tomtom-international/web-sdk-maps │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @tomtom-international/web-sdk-maps > lodash │
├───────────────┼─────────────────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.11 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @tomtom-international/web-sdk-services │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @tomtom-international/web-sdk-services > lodash │
├───────────────┼─────────────────────────────
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.12 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @tomtom-international/web-sdk-maps │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @tomtom-international/web-sdk-maps > lodash │
├───────────────┼─────────────────────────────
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.12 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @tomtom-international/web-sdk-services │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @tomtom-international/web-sdk-services > lodash │
├───────────────┼─────────────────────────────
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.18.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @tomtom-international/web-sdk-maps │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @tomtom-international/web-sdk-maps > axios │
├───────────────┼─────────────────────────────
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Moderate │ Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.18.1 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @tomtom-international/web-sdk-services │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @tomtom-international/web-sdk-services > axios │
├───────────────┼─────────────────────────────
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.2.1 <1.0.0 || >=1.2.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @tomtom-international/web-sdk-maps │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @tomtom-international/web-sdk-maps > mapbox-gl > │
│ │ @mapbox/geojson-rewind > sharkdown > minimist │
├───────────────┼────────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ minimist │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=0.2.1 <1.0.0 || >=1.2.3 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @tomtom-international/web-sdk-maps │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ @tomtom-international/web-sdk-maps > mapbox-gl > minimist │
├───────────────┼──────────────────────────────────────────────────────────────┘
found 8 vulnerabilities (2 low, 2 moderate, 4 high) in 576 scanned packages

Hi,

thank you for finding this.

We will update these dependencies and notify you here once we release a new version of the SDK.

Best regards

1 Like

@conbec We have released new version 5.56.0 fixing mentioned security vulnerabilities.

1 Like