request #23426 Stop using ng-showdown to render the release notes in the FRS app

Artifact

Infos

Artifact ID#23426

Submitted byThomas Gerbet (tgerbet)

Last Modified On2021-10-12 18:04

Submitted on2021-10-11 17:37

Rank24976

Details

Summary *

Stop using ng-showdown to render the release notes in the FRS app

Original Submission

The ng-showdown dependency makes pnpm audit unhappy for valid reasons:

┌─────────────────────┬───────────────────────────────────────────────────┐
│ high                │ Prototype Pollution                               │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Package             │ y18n                                              │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Vulnerable versions │ <3.2.2                                            │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Patched versions    │ >=3.2.2                                           │
├─────────────────────┼───────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-c4w7-xm78-47vh │
└─────────────────────┴───────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────────────┐
│ moderate            │  Inefficient Regular Expression Complexity in chalk/ansi-regex │
├─────────────────────┼────────────────────────────────────────────────────────────────┤
│ Package             │ ansi-regex                                                     │
├─────────────────────┼────────────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >2.1.1 <5.0.1                                                  │
├─────────────────────┼────────────────────────────────────────────────────────────────┤
│ Patched versions    │ >=5.0.1                                                        │
├─────────────────────┼────────────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-93q8-gq69-wqmw              │
└─────────────────────┴────────────────────────────────────────────────────────────────┘
┌─────────────────────┬───────────────────────────────────────────────────┐
│ moderate            │ Prototype Pollution in yargs-parser               │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Package             │ yargs-parser                                      │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Vulnerable versions │ >=6.0.0 <13.1.2                                   │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Patched versions    │ >=13.1.2                                          │
├─────────────────────┼───────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-p9pc-299p-vxgp │
└─────────────────────┴───────────────────────────────────────────────────┘
┌─────────────────────┬───────────────────────────────────────────────────┐
│ moderate            │ Denial of Service in mem                          │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Package             │ mem                                               │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Vulnerable versions │ <4.0.0                                            │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Patched versions    │ >=4.0.0                                           │
├─────────────────────┼───────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-4xcv-9jjx-gfj3 │
└─────────────────────┴───────────────────────────────────────────────────┘
┌─────────────────────┬───────────────────────────────────────────────────┐
│ low                 │ Reverse Tabnabbing in showdown                    │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Package             │ showdown                                          │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Vulnerable versions │ <1.9.1                                            │
├─────────────────────┼───────────────────────────────────────────────────┤
│ Patched versions    │ >=1.9.1                                           │
├─────────────────────┼───────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-h6mq-3cj6-h738 │
└─────────────────────┴───────────────────────────────────────────────────┘
5 vulnerabilities found
Severity: 1 low | 3 moderate | 1 high

The DoS can be triggered. The reverse tab-nabbing is less an issue on modern browsers.

Also the rendering is inconsistent with the REST of Tuleap where Markdown content is rendered according to the CommonMark specification.

CategoryDelivery/File release system

Reported in versionEmpty

PlatformEmpty

Is an Enhancement or an internal improvement?