•  
      request #23426 Stop using ng-showdown to render the release notes in the FRS app
    Infos
    #23426
    Thomas Gerbet (tgerbet)
    2021-10-12 18:04
    2021-10-11 17:37
    24976
    Details
    Stop using ng-showdown to render the release notes in the FRS app

    The ng-showdown dependency makes pnpm audit unhappy for valid reasons:

    ┌─────────────────────┬───────────────────────────────────────────────────┐
    │ high                │ Prototype Pollution                               │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ Package             │ y18n                                              │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ Vulnerable versions │ <3.2.2                                            │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ Patched versions    │ >=3.2.2                                           │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ More info           │ https://github.com/advisories/GHSA-c4w7-xm78-47vh │
    └─────────────────────┴───────────────────────────────────────────────────┘
    ┌─────────────────────┬────────────────────────────────────────────────────────────────┐
    │ moderate            │  Inefficient Regular Expression Complexity in chalk/ansi-regex │
    ├─────────────────────┼────────────────────────────────────────────────────────────────┤
    │ Package             │ ansi-regex                                                     │
    ├─────────────────────┼────────────────────────────────────────────────────────────────┤
    │ Vulnerable versions │ >2.1.1 <5.0.1                                                  │
    ├─────────────────────┼────────────────────────────────────────────────────────────────┤
    │ Patched versions    │ >=5.0.1                                                        │
    ├─────────────────────┼────────────────────────────────────────────────────────────────┤
    │ More info           │ https://github.com/advisories/GHSA-93q8-gq69-wqmw              │
    └─────────────────────┴────────────────────────────────────────────────────────────────┘
    ┌─────────────────────┬───────────────────────────────────────────────────┐
    │ moderate            │ Prototype Pollution in yargs-parser               │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ Package             │ yargs-parser                                      │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ Vulnerable versions │ >=6.0.0 <13.1.2                                   │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ Patched versions    │ >=13.1.2                                          │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ More info           │ https://github.com/advisories/GHSA-p9pc-299p-vxgp │
    └─────────────────────┴───────────────────────────────────────────────────┘
    ┌─────────────────────┬───────────────────────────────────────────────────┐
    │ moderate            │ Denial of Service in mem                          │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ Package             │ mem                                               │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ Vulnerable versions │ <4.0.0                                            │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ Patched versions    │ >=4.0.0                                           │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ More info           │ https://github.com/advisories/GHSA-4xcv-9jjx-gfj3 │
    └─────────────────────┴───────────────────────────────────────────────────┘
    ┌─────────────────────┬───────────────────────────────────────────────────┐
    │ low                 │ Reverse Tabnabbing in showdown                    │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ Package             │ showdown                                          │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ Vulnerable versions │ <1.9.1                                            │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ Patched versions    │ >=1.9.1                                           │
    ├─────────────────────┼───────────────────────────────────────────────────┤
    │ More info           │ https://github.com/advisories/GHSA-h6mq-3cj6-h738 │
    └─────────────────────┴───────────────────────────────────────────────────┘
    5 vulnerabilities found
    Severity: 1 low | 3 moderate | 1 high
    

    The DoS can be triggered. The reverse tab-nabbing is less an issue on modern browsers.

    Also the rendering is inconsistent with the REST of Tuleap where Markdown content is rendered according to the CommonMark specification.

    Delivery/File release system
    Empty
    Empty
    • [ ] enhancement
    • [ ] internal improvement
    Empty
    Stage
    Thomas Gerbet (tgerbet)
    Closed
    2021-10-12
    Attachments
    Empty
    References

    Follow-ups