Bump imagemin-cli to 6.0.0 & other imagemin dependencies #531

WilliamCollishaw · 2020-12-18T23:48:44Z

This fixes the following 3 low severity findings from running npm audit in the imagemin packages

# Run  npm install --save-dev imagemin-cli@6.0.0  to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ yargs-parser                                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ imagemin-cli [dev]                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ imagemin-cli > meow > yargs-parser                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1500                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


# Run  npm update mkdirp --depth 4  to resolve 2 vulnerabilities
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimist                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ imagemin-cli [dev]                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ imagemin-cli > imagemin-svgo > svgo > mkdirp > minimist      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1179                            │
└───────────────┴──────────────────────────────────────────────────────────────┘


┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low           │ Prototype Pollution                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimist                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ imagemin-svgo [dev]                                          │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ imagemin-svgo > svgo > mkdirp > minimist                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1179                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

The follow commands were used to make these changes:

npm install --save-dev imagemin-cli@6.0.0
npm update mkdirp --depth 4

jmhobbs · 2020-12-22T17:14:12Z

Thanks!

Bump imagemin-cli to 6.0.0

71211b5

jmhobbs merged commit 4f872c4 into jmhobbs:master Dec 22, 2020

WilliamCollishaw deleted the imagemin-low-severity-security-fixes branch December 22, 2020 17:26

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Bump imagemin-cli to 6.0.0 & other imagemin dependencies #531

Bump imagemin-cli to 6.0.0 & other imagemin dependencies #531

WilliamCollishaw commented Dec 18, 2020

jmhobbs commented Dec 22, 2020

Bump imagemin-cli to 6.0.0 & other imagemin dependencies #531

Bump imagemin-cli to 6.0.0 & other imagemin dependencies #531

Conversation

WilliamCollishaw commented Dec 18, 2020

jmhobbs commented Dec 22, 2020