chore(deps-dev): bump decode-uri-component from 0.2.0 to 0.2.2 #412
[Gandalf - Continuous AppSec] Análise de sca
❌ Resultado da análise
Análise reprovada conforme as configurações de segurança do repositório, definidas no momento da execução dos testes.
Details
📋 Resumo de achados
| Criticade | Achados |
|---|---|
| Critical | 1 |
| High | 1 |
| Medium | 2 |
| Low | 1 |
🔧 Configurações
| Ação | Estado |
|---|---|
| Analisar todos os pull requests | ✔️ |
| Bloquear merge de pull requests que contenham achados críticos e altos | ✔️ |
❔ Dúvidas e sugestões
O Gandalf é uma solução desenvolvida internamente pelo time de segurança da informação com o intuito de implementar controles referentes à política de segurança da informação vigente, no que diz respeito à análise contínua, identificação, classificação e comunicação de possíveis problemas de segurança encontrados nos repositórios da organização. Para acessar mais informações sobre o Gandalf, acesse a Faq. Em caso de dúvidas e/ou sugestões entre em contato conosco.
🚨 Bypass
Em casos de necessidade, preencha o Formulário de Bypass do controle de segurança.
Annotations
Check warning on line 0 in package-lock.json
devsec-app-pagarme / [Gandalf - Continuous AppSec] Análise de sca
Achado com criticidade low
The debug module is vulnerable to regular expression denial of service when untrusted user input is passed into the o formatter. It takes around 50k characters to block for 2 seconds making this a low severity issue.
Raw output
Update/change the affected components.
Patched versions: 2.6.9, 3.1.0, 3.2.7, 4.3.1
Check failure on line 0 in package-lock.json
devsec-app-pagarme / [Gandalf - Continuous AppSec] Análise de sca
Achado com criticidade critical
Minimist <=1.2.5 is vulnerable to Prototype Pollution via file index.js, function setKey() (lines 69-95).
Raw output
Update/change the affected components.
Patched versions: 1.2.6, 0.2.4
Check warning on line 0 in package-lock.json
devsec-app-pagarme / [Gandalf - Continuous AppSec] Análise de sca
Achado com criticidade medium
minimist before 1.2.2 could be tricked into adding or modifying properties of Object.prototype using a "constructor" or "__proto__" payload.
Raw output
Update/change the affected components.
Patched versions: 0.2.1, 1.2.3
Check warning on line 0 in package-lock.json
devsec-app-pagarme / [Gandalf - Continuous AppSec] Análise de sca
Achado com criticidade medium
Versions of the package semver before 7.5.2 are vulnerable to Regular Expression Denial of Service (ReDoS) via the function new Range, when untrusted user data is provided as a range.
Raw output
Update/change the affected components.
Patched versions: 7.5.2, 6.3.1, 5.7.2
Check failure on line 0 in package-lock.json
devsec-app-pagarme / [Gandalf - Continuous AppSec] Análise de sca
Achado com criticidade high
The package y18n before 3.2.2, 4.0.1 and 5.0.5, is vulnerable to Prototype Pollution.
Raw output
Update/change the affected components.
Patched versions: 3.2.2, 4.0.1, 5.0.5