When running npm audit with recent node-red, I got the following error:
uuid <14.0.0
Severity: moderate
uuid: Missing buffer bounds check in v3/v5/v6 when buf is provided - https://github.com/advisories/GHSA-w5hq-g745-h8pq
fix available via `npm audit fix --force`
Will install node-red@1.3.7, which is a breaking change
node_modules/uuid
@node-red/nodes 2.0.0-beta.1 - 5.0.0-beta.5
Depends on vulnerable versions of uuid
node_modules/@node-red/nodes
node-red 2.0.0-beta.1 - 5.0.0-beta.5
Depends on vulnerable versions of @node-red/nodes
node_modules/node-red
The error seems to be related to old UUID formats. Are these formats used by node-red?
augjoh:
uuid
You can simply do npm ls uuid to find out what requires that library.
>npm ls uuid
node-red-master@5.0.0-beta.0 D:\src\nrnext
`-- (empty)
Use npm -g ls uuid if you have a standard node-red install.
Running from my test userDir folder:
npm ls uuid
node-red-userdir@3.0.2 D:\src\nrnext\data
`-- node-red-contrib-uibuilder@7.6.2 -> .\..\..\node-red-contrib-uibuilder
`-- mermaid@11.14.0
`-- uuid@11.1.0
Which is a dependency on the uibuilder documentation I think.
However, from that same location:
>npm audit
found 0 vulnerabilities
Which suggests that uuid <14.0.0 is incorrect.
However, running from my dev instance instead of my v5 instance, I get this from the userDir:
> npm ls uuid
node-red-userdir@2.2.0 D:\src\nr\data
+-- node-red-contrib-ical-events@2.2.5
| `-- kalender-events@0.28.3
| +-- scrapegoat@1.0.1
| | `-- request@2.88.2
| | `-- uuid@3.4.0
| `-- uuid@8.3.2
+-- node-red-contrib-telegrambot@17.1.3
| `-- node-telegram-bot-api@0.66.0
| `-- @cypress/request@3.0.10
| `-- uuid@8.3.2 deduped
+-- node-red-contrib-uibuilder@7.6.2 -> .\..\..\node-red-contrib-uibuilder
| `-- mermaid@11.14.0
| `-- uuid@11.1.0
`-- node-red-contrib-web-worldmap@5.6.2
`-- sockjs@0.3.24
`-- uuid@8.3.2
But, I still don't get any warning from npm audit about uuid.
Thanks for looking into this. That's really strange, it is different on my machine. I've setup an empty project (created with npm init) and installed node-red, only. I got the following:
node@nodejs ~/empty-project> npm install node-red
npm warn Unknown global config "python". This will stop working in the next major version of npm. See `npm help npmrc` for supported config options.
npm warn deprecated uuid@9.0.1: uuid@10 and below is no longer supported. For ESM codebases, update to uuid@latest. For CommonJS codebases, use uuid@11 (but be aware this version will likely be deprecated in 2028).
added 275 packages, and audited 276 packages in 21s
53 packages are looking for funding
run `npm fund` for details
3 moderate severity vulnerabilities
To address all issues, run:
npm audit fix
Run `npm audit` for details.
And it is the same problematic uuid@9.0.1 package, that causes the failure here:
node@nodejs ~/empty-project> npm audit
npm warn Unknown global config "python". This will stop working in the next major version of npm. See `npm help npmrc` for supported config options.
# npm audit report
uuid <14.0.0
Severity: moderate
uuid: Missing buffer bounds check in v3/v5/v6 when buf is provided - https://github.com/advisories/GHSA-w5hq-g745-h8pq
fix available via `npm audit fix --force`
Will install node-red@1.3.7, which is a breaking change
node_modules/uuid
@node-red/nodes 2.0.0-beta.1 - 5.0.0-beta.5
Depends on vulnerable versions of uuid
node_modules/@node-red/nodes
node-red 2.0.0-beta.1 - 5.0.0-beta.5
Depends on vulnerable versions of @node-red/nodes
node_modules/node-red
3 moderate severity vulnerabilities
To address all issues (including breaking changes), run:
npm audit fix --force
And indeed, there is uuid@9 installed. Here are the installed packages on my machine:
node@nodejs ~/empty-project> node --version
v24.14.1
node@nodejs ~/empty-project> npm --version
11.11.0
node@nodejs ~/empty-project> npm ls uuid
npm warn Unknown global config "python". This will stop working in the next major version of npm. See `npm help npmrc` for supported config options.
empty-project@1.0.0 /home/node/empty-project
โโโฌ node-red@4.1.8
โโโฌ @node-red/nodes@4.1.8
โโโ uuid@9.0.1
node@nodejs ~/empty-project [1]> npm ls --tree --all
npm warn Unknown cli config "--tree". This will stop working in the next major version of npm.
npm warn Unknown global config "python". This will stop working in the next major version of npm. See `npm help npmrc` for supported config options.
empty-project@1.0.0 /home/node/empty-project
โโโฌ node-red@4.1.8
โโโฌ @node-red/editor-api@4.1.8
โ โโโ @node-red/editor-client@4.1.8
โ โโโ @node-red/util@4.1.8 deduped
โ โโโ @node-rs/bcrypt@1.10.7 deduped
โ โโโ bcryptjs@3.0.3 deduped
โ โโโฌ body-parser@1.20.4
โ โ โโโ bytes@3.1.2
โ โ โโโ content-type@1.0.5 deduped
โ โ โโโ debug@2.6.9 deduped
โ โ โโโ depd@2.0.0 deduped
โ โ โโโ destroy@1.2.0
โ โ โโโ http-errors@2.0.1 deduped
โ โ โโโฌ iconv-lite@0.4.24
โ โ โ โโโ safer-buffer@2.1.2 deduped
โ โ โโโ on-finished@2.4.1 deduped
โ โ โโโ qs@6.14.2 deduped
โ โ โโโฌ raw-body@2.5.3
โ โ โ โโโ bytes@3.1.2 deduped
โ โ โ โโโ http-errors@2.0.1 deduped
โ โ โ โโโ iconv-lite@0.4.24 deduped
โ โ โ โโโ unpipe@1.0.0 deduped
โ โ โโโ type-is@1.6.18 deduped
โ โ โโโ unpipe@1.0.0
โ โโโ clone@2.1.2
โ โโโ cors@2.8.5 deduped
โ โโโฌ express-session@1.18.2
โ โ โโโ cookie-signature@1.0.7
โ โ โโโ cookie@0.7.2 deduped
โ โ โโโ debug@2.6.9 deduped
โ โ โโโ depd@2.0.0 deduped
โ โ โโโ on-headers@1.1.0 deduped
โ โ โโโ parseurl@1.3.3 deduped
โ โ โโโ safe-buffer@5.2.1
โ โ โโโฌ uid-safe@2.1.5
โ โ โโโ random-bytes@1.0.0
โ โโโ express@4.22.1 deduped
โ โโโฌ memorystore@1.6.7
โ โ โโโฌ debug@4.4.3
โ โ โ โโโ ms@2.1.3
โ โ โโโฌ lru-cache@4.1.5
โ โ โโโ pseudomap@1.0.2
โ โ โโโ yallist@2.1.2
โ โโโ mime@3.0.0
โ โโโฌ multer@2.1.1
โ โ โโโ append-field@1.0.0
โ โ โโโฌ busboy@1.6.0
โ โ โ โโโ streamsearch@1.1.0
โ โ โโโฌ concat-stream@2.0.0
โ โ โ โโโ buffer-from@1.1.2
โ โ โ โโโ inherits@2.0.4 deduped
โ โ โ โโโฌ readable-stream@3.6.2
โ โ โ โ โโโ inherits@2.0.4 deduped
โ โ โ โ โโโ string_decoder@1.3.0 deduped
โ โ โ โ โโโ util-deprecate@1.0.2
โ โ โ โโโ typedarray@0.0.6
โ โ โโโ type-is@1.6.18 deduped
โ โโโ mustache@4.2.0
โ โโโฌ oauth2orize@1.12.0
โ โ โโโ debug@2.6.9 deduped
โ โ โโโ uid2@0.0.4
โ โ โโโ utils-merge@1.0.1 deduped
โ โโโฌ passport-http-bearer@1.0.1
โ โ โโโ passport-strategy@1.0.0
โ โโโฌ passport-oauth2-client-password@0.1.2
โ โ โโโ passport-strategy@1.0.0 deduped
โ โโโฌ passport@0.7.0
โ โ โโโ passport-strategy@1.0.0 deduped
โ โ โโโ pause@0.0.1
โ โ โโโ utils-merge@1.0.1 deduped
โ โโโฌ ws@7.5.10
โ โโโ UNMET OPTIONAL DEPENDENCY bufferutil@^4.0.1
โ โโโ UNMET OPTIONAL DEPENDENCY utf-8-validate@^5.0.2
โโโฌ @node-red/nodes@4.1.8
โ โโโฌ acorn-walk@8.3.5
โ โ โโโ acorn@8.16.0 deduped
โ โโโ acorn@8.16.0
โ โโโฌ ajv@8.18.0
โ โ โโโ fast-deep-equal@3.1.3
โ โ โโโ fast-uri@3.1.0
โ โ โโโ json-schema-traverse@1.0.0
โ โ โโโ require-from-string@2.0.2
โ โโโ body-parser@1.20.4 deduped
โ โโโฌ cheerio@1.0.0-rc.10
โ โ โโโฌ cheerio-select@1.6.0
โ โ โ โโโฌ css-select@4.3.0
โ โ โ โ โโโ boolbase@1.0.0
โ โ โ โ โโโ css-what@6.2.2 deduped
โ โ โ โ โโโ domhandler@4.3.1 deduped
โ โ โ โ โโโ domutils@2.8.0 deduped
โ โ โ โ โโโฌ nth-check@2.1.1
โ โ โ โ โโโ boolbase@1.0.0 deduped
โ โ โ โโโ css-what@6.2.2
โ โ โ โโโ domelementtype@2.3.0
โ โ โ โโโ domhandler@4.3.1 deduped
โ โ โ โโโฌ domutils@2.8.0
โ โ โ โโโ dom-serializer@1.4.1 deduped
โ โ โ โโโ domelementtype@2.3.0 deduped
โ โ โ โโโ domhandler@4.3.1 deduped
โ โ โโโฌ dom-serializer@1.4.1
โ โ โ โโโ domelementtype@2.3.0 deduped
โ โ โ โโโ domhandler@4.3.1 deduped
โ โ โ โโโ entities@2.2.0
โ โ โโโฌ domhandler@4.3.1
โ โ โ โโโ domelementtype@2.3.0 deduped
โ โ โโโฌ htmlparser2@6.1.0
โ โ โ โโโ domelementtype@2.3.0 deduped
โ โ โ โโโ domhandler@4.3.1 deduped
โ โ โ โโโ domutils@2.8.0 deduped
โ โ โ โโโ entities@2.2.0 deduped
โ โ โโโฌ parse5-htmlparser2-tree-adapter@6.0.1
โ โ โ โโโ parse5@6.0.1 deduped
โ โ โโโ parse5@6.0.1
โ โ โโโ tslib@2.8.1
โ โโโ content-type@1.0.5
โ โโโฌ cookie-parser@1.4.7
โ โ โโโ cookie-signature@1.0.6 deduped
โ โ โโโ cookie@0.7.2 deduped
โ โโโ cookie@0.7.2
โ โโโ cors@2.8.5 deduped
โ โโโ cronosjs@1.7.1
โ โโโ denque@2.1.0
โ โโโฌ form-data@4.0.4
โ โ โโโ asynckit@0.4.0
โ โ โโโฌ combined-stream@1.0.8
โ โ โ โโโ delayed-stream@1.0.0
โ โ โโโฌ es-set-tostringtag@2.1.0
โ โ โ โโโ es-errors@1.3.0
โ โ โ โโโฌ get-intrinsic@1.3.0
โ โ โ โ โโโฌ call-bind-apply-helpers@1.0.2
โ โ โ โ โ โโโ es-errors@1.3.0 deduped
โ โ โ โ โ โโโ function-bind@1.1.2 deduped
โ โ โ โ โโโ es-define-property@1.0.1
โ โ โ โ โโโ es-errors@1.3.0 deduped
โ โ โ โ โโโฌ es-object-atoms@1.1.1
โ โ โ โ โ โโโ es-errors@1.3.0 deduped
โ โ โ โ โโโ function-bind@1.1.2 deduped
โ โ โ โ โโโฌ get-proto@1.0.1
โ โ โ โ โ โโโฌ dunder-proto@1.0.1
โ โ โ โ โ โ โโโ call-bind-apply-helpers@1.0.2 deduped
โ โ โ โ โ โ โโโ es-errors@1.3.0 deduped
โ โ โ โ โ โ โโโ gopd@1.2.0 deduped
โ โ โ โ โ โโโ es-object-atoms@1.1.1 deduped
โ โ โ โ โโโ gopd@1.2.0
โ โ โ โ โโโ has-symbols@1.1.0
โ โ โ โ โโโ hasown@2.0.3 deduped
โ โ โ โ โโโ math-intrinsics@1.1.0
โ โ โ โโโฌ has-tostringtag@1.0.2
โ โ โ โ โโโ has-symbols@1.1.0 deduped
โ โ โ โโโ hasown@2.0.3 deduped
โ โ โโโฌ hasown@2.0.3
โ โ โ โโโ function-bind@1.1.2
โ โ โโโฌ mime-types@2.1.35
โ โ โโโ mime-db@1.52.0
โ โโโ fs-extra@11.3.0 deduped
โ โโโฌ got@12.6.1
โ โ โโโ @sindresorhus/is@5.6.0
โ โ โโโฌ @szmarczak/http-timer@5.0.1
โ โ โ โโโ defer-to-connect@2.0.1
โ โ โโโ cacheable-lookup@7.0.0
โ โ โโโฌ cacheable-request@10.2.14
โ โ โ โโโ @types/http-cache-semantics@4.2.0
โ โ โ โโโ get-stream@6.0.1 deduped
โ โ โ โโโ http-cache-semantics@4.2.0
โ โ โ โโโฌ keyv@4.5.4
โ โ โ โ โโโ json-buffer@3.0.1
โ โ โ โโโ mimic-response@4.0.0
โ โ โ โโโ normalize-url@8.1.1
โ โ โ โโโ responselike@3.0.0 deduped
โ โ โโโฌ decompress-response@6.0.0
โ โ โ โโโ mimic-response@3.1.0
โ โ โโโ form-data-encoder@2.1.4
โ โ โโโ get-stream@6.0.1
โ โ โโโฌ http2-wrapper@2.2.1
โ โ โ โโโ quick-lru@5.1.1
โ โ โ โโโ resolve-alpn@1.2.1
โ โ โโโ lowercase-keys@3.0.0
โ โ โโโ p-cancelable@3.0.0
โ โ โโโฌ responselike@3.0.0
โ โ โโโ lowercase-keys@3.0.0 deduped
โ โโโ hash-sum@2.0.0
โ โโโ hpagent@1.2.0
โ โโโฌ https-proxy-agent@5.0.1
โ โ โโโฌ agent-base@6.0.2
โ โ โ โโโฌ debug@4.4.3
โ โ โ โโโ ms@2.1.3
โ โ โโโฌ debug@4.4.3
โ โ โโโ ms@2.1.3
โ โโโฌ iconv-lite@0.6.3
โ โ โโโ safer-buffer@2.1.2
โ โโโ is-utf8@0.2.1
โ โโโฌ js-yaml@4.1.1
โ โ โโโ argparse@2.0.1
โ โโโ media-typer@1.1.0
โ โโโฌ mqtt@5.15.0
โ โ โโโฌ @types/readable-stream@4.0.23
โ โ โ โโโฌ @types/node@25.6.0
โ โ โ โโโ undici-types@7.19.2
โ โ โโโฌ @types/ws@8.18.1
โ โ โ โโโ @types/node@25.6.0 deduped
โ โ โโโ commist@3.2.0
โ โ โโโ concat-stream@2.0.0 deduped
โ โ โโโฌ debug@4.4.3
โ โ โ โโโ ms@2.1.3
โ โ โโโ help-me@5.0.0
โ โ โโโ lru-cache@10.4.3
โ โ โโโ minimist@1.2.8 deduped
โ โ โโโฌ mqtt-packet@9.0.2
โ โ โ โโโฌ bl@6.1.6
โ โ โ โ โโโ @types/readable-stream@4.0.23 deduped
โ โ โ โ โโโ buffer@6.0.3 deduped
โ โ โ โ โโโ inherits@2.0.4 deduped
โ โ โ โ โโโ readable-stream@4.7.0 deduped
โ โ โ โโโฌ debug@4.4.3
โ โ โ โ โโโ ms@2.1.3
โ โ โ โโโ process-nextick-args@2.0.1
โ โ โโโฌ number-allocator@1.0.14
โ โ โ โโโฌ debug@4.4.3
โ โ โ โ โโโ ms@2.1.3
โ โ โ โโโ js-sdsl@4.3.0
โ โ โโโฌ readable-stream@4.7.0
โ โ โ โโโฌ abort-controller@3.0.0
โ โ โ โ โโโ event-target-shim@5.0.1
โ โ โ โโโฌ buffer@6.0.3
โ โ โ โ โโโ base64-js@1.5.1
โ โ โ โ โโโ ieee754@1.2.1
โ โ โ โโโ events@3.3.0
โ โ โ โโโ process@0.11.10
โ โ โ โโโฌ string_decoder@1.3.0
โ โ โ โโโ safe-buffer@5.2.1
โ โ โโโ rfdc@1.4.1 deduped
โ โ โโโฌ socks@2.8.8
โ โ โ โโโ ip-address@10.2.0
โ โ โ โโโ smart-buffer@4.2.0
โ โ โโโ split2@4.2.0
โ โ โโโฌ worker-timers@8.0.31
โ โ โ โโโ @babel/runtime@7.29.2 deduped
โ โ โ โโโ tslib@2.8.1 deduped
โ โ โ โโโฌ worker-timers-broker@8.0.16
โ โ โ โ โโโ @babel/runtime@7.29.2 deduped
โ โ โ โ โโโฌ broker-factory@3.1.14
โ โ โ โ โ โโโ @babel/runtime@7.29.2 deduped
โ โ โ โ โ โโโ fast-unique-numbers@9.0.27 deduped
โ โ โ โ โ โโโ tslib@2.8.1 deduped
โ โ โ โ โ โโโ worker-factory@7.0.49 deduped
โ โ โ โ โโโฌ fast-unique-numbers@9.0.27
โ โ โ โ โ โโโ @babel/runtime@7.29.2 deduped
โ โ โ โ โ โโโ tslib@2.8.1 deduped
โ โ โ โ โโโ tslib@2.8.1 deduped
โ โ โ โ โโโ worker-timers-worker@9.0.14 deduped
โ โ โ โโโฌ worker-timers-worker@9.0.14
โ โ โ โโโ @babel/runtime@7.29.2 deduped
โ โ โ โโโ tslib@2.8.1 deduped
โ โ โ โโโฌ worker-factory@7.0.49
โ โ โ โโโ @babel/runtime@7.29.2 deduped
โ โ โ โโโ fast-unique-numbers@9.0.27 deduped
โ โ โ โโโ tslib@2.8.1 deduped
โ โ โโโฌ ws@8.20.0
โ โ โโโ UNMET OPTIONAL DEPENDENCY bufferutil@^4.0.1
โ โ โโโ UNMET OPTIONAL DEPENDENCY utf-8-validate@>=5.0.2
โ โโโ multer@2.1.1 deduped
โ โโโ mustache@4.2.0 deduped
โ โโโ node-watch@0.7.4
โ โโโ on-headers@1.1.0
โ โโโฌ raw-body@3.0.0
โ โ โโโ bytes@3.1.2 deduped
โ โ โโโฌ http-errors@2.0.0
โ โ โ โโโ depd@2.0.0 deduped
โ โ โ โโโ inherits@2.0.4 deduped
โ โ โ โโโ setprototypeof@1.2.0 deduped
โ โ โ โโโ statuses@2.0.1
โ โ โ โโโ toidentifier@1.0.1 deduped
โ โ โโโ iconv-lite@0.6.3 deduped
โ โ โโโ unpipe@1.0.0 deduped
โ โโโฌ tough-cookie@5.1.2
โ โ โโโฌ tldts@6.1.86
โ โ โโโ tldts-core@6.1.86
โ โโโ uuid@9.0.1
โ โโโ ws@7.5.10 deduped
โ โโโฌ xml2js@0.6.2
โ โโโ sax@1.6.0
โ โโโ xmlbuilder@11.0.1
โโโฌ @node-red/runtime@4.1.8
โ โโโฌ @node-red/registry@4.1.8
โ โ โโโ @node-red/util@4.1.8 deduped
โ โ โโโ clone@2.1.2 deduped
โ โ โโโ fs-extra@11.3.0 deduped
โ โ โโโ semver@7.7.4 deduped
โ โ โโโฌ tar@7.5.12
โ โ โ โโโฌ @isaacs/fs-minipass@4.0.1
โ โ โ โ โโโ minipass@7.1.3 deduped
โ โ โ โโโ chownr@3.0.0
โ โ โ โโโ minipass@7.1.3
โ โ โ โโโฌ minizlib@3.1.0
โ โ โ โ โโโ minipass@7.1.3 deduped
โ โ โ โโโ yallist@5.0.0
โ โ โโโ uglify-js@3.19.3
โ โโโ @node-red/util@4.1.8 deduped
โ โโโฌ async-mutex@0.5.0
โ โ โโโ tslib@2.8.1 deduped
โ โโโ clone@2.1.2 deduped
โ โโโ cronosjs@1.7.1 deduped
โ โโโ express@4.22.1 deduped
โ โโโ fs-extra@11.3.0 deduped
โ โโโ got@12.6.1 deduped
โ โโโ json-stringify-safe@5.0.1
โ โโโ rfdc@1.4.1
โ โโโ semver@7.7.4 deduped
โโโฌ @node-red/util@4.1.8
โ โโโฌ chalk@4.1.2
โ โ โโโฌ ansi-styles@4.3.0
โ โ โ โโโฌ color-convert@2.0.1
โ โ โ โโโ color-name@1.1.4
โ โ โโโฌ supports-color@7.2.0
โ โ โโโ has-flag@4.0.0
โ โโโ fs-extra@11.3.0 deduped
โ โโโฌ i18next@25.8.14
โ โ โโโ @babel/runtime@7.29.2
โ โ โโโ UNMET OPTIONAL DEPENDENCY typescript@^5
โ โโโ json-stringify-safe@5.0.1 deduped
โ โโโ jsonata@2.0.6
โ โโโ lodash.clonedeep@4.5.0
โ โโโฌ moment-timezone@0.5.48
โ โ โโโ moment@2.30.1 deduped
โ โโโ moment@2.30.1
โโโฌ @node-rs/bcrypt@1.10.7
โ โโโ UNMET OPTIONAL DEPENDENCY @node-rs/bcrypt-android-arm-eabi@1.10.7
โ โโโ UNMET OPTIONAL DEPENDENCY @node-rs/bcrypt-android-arm64@1.10.7
โ โโโ UNMET OPTIONAL DEPENDENCY @node-rs/bcrypt-darwin-arm64@1.10.7
โ โโโ UNMET OPTIONAL DEPENDENCY @node-rs/bcrypt-darwin-x64@1.10.7
โ โโโ @node-rs/bcrypt-freebsd-x64@1.10.7
โ โโโ UNMET OPTIONAL DEPENDENCY @node-rs/bcrypt-linux-arm-gnueabihf@1.10.7
โ โโโ UNMET OPTIONAL DEPENDENCY @node-rs/bcrypt-linux-arm64-gnu@1.10.7
โ โโโ UNMET OPTIONAL DEPENDENCY @node-rs/bcrypt-linux-arm64-musl@1.10.7
โ โโโ UNMET OPTIONAL DEPENDENCY @node-rs/bcrypt-linux-x64-gnu@1.10.7
โ โโโ UNMET OPTIONAL DEPENDENCY @node-rs/bcrypt-linux-x64-musl@1.10.7
โ โโโ UNMET OPTIONAL DEPENDENCY @node-rs/bcrypt-wasm32-wasi@1.10.7
โ โโโ UNMET OPTIONAL DEPENDENCY @node-rs/bcrypt-win32-arm64-msvc@1.10.7
โ โโโ UNMET OPTIONAL DEPENDENCY @node-rs/bcrypt-win32-ia32-msvc@1.10.7
โ โโโ UNMET OPTIONAL DEPENDENCY @node-rs/bcrypt-win32-x64-msvc@1.10.7
โโโฌ basic-auth@2.0.1
โ โโโ safe-buffer@5.1.2
โโโ bcryptjs@3.0.3
โโโฌ cors@2.8.5
โ โโโ object-assign@4.1.1
โ โโโ vary@1.1.2
โโโฌ express@4.22.1
โ โโโฌ accepts@1.3.8
โ โ โโโ mime-types@2.1.35 deduped
โ โ โโโ negotiator@0.6.3
โ โโโ array-flatten@1.1.1
โ โโโ body-parser@1.20.4 deduped
โ โโโฌ content-disposition@0.5.4
โ โ โโโ safe-buffer@5.2.1
โ โโโ content-type@1.0.5 deduped
โ โโโ cookie-signature@1.0.6
โ โโโ cookie@0.7.2 deduped
โ โโโฌ debug@2.6.9
โ โ โโโ ms@2.0.0
โ โโโ depd@2.0.0
โ โโโ encodeurl@2.0.0
โ โโโ escape-html@1.0.3
โ โโโ etag@1.8.1
โ โโโฌ finalhandler@1.3.2
โ โ โโโ debug@2.6.9 deduped
โ โ โโโ encodeurl@2.0.0 deduped
โ โ โโโ escape-html@1.0.3 deduped
โ โ โโโ on-finished@2.4.1 deduped
โ โ โโโ parseurl@1.3.3 deduped
โ โ โโโ statuses@2.0.2 deduped
โ โ โโโ unpipe@1.0.0 deduped
โ โโโ fresh@0.5.2
โ โโโฌ http-errors@2.0.1
โ โ โโโ depd@2.0.0 deduped
โ โ โโโ inherits@2.0.4
โ โ โโโ setprototypeof@1.2.0 deduped
โ โ โโโ statuses@2.0.2 deduped
โ โ โโโ toidentifier@1.0.1
โ โโโ merge-descriptors@1.0.3
โ โโโ methods@1.1.2
โ โโโฌ on-finished@2.4.1
โ โ โโโ ee-first@1.1.1
โ โโโ parseurl@1.3.3
โ โโโ path-to-regexp@0.1.13
โ โโโฌ proxy-addr@2.0.7
โ โ โโโ forwarded@0.2.0
โ โ โโโ ipaddr.js@1.9.1
โ โโโฌ qs@6.14.2
โ โ โโโฌ side-channel@1.1.0
โ โ โโโ es-errors@1.3.0 deduped
โ โ โโโ object-inspect@1.13.4
โ โ โโโฌ side-channel-list@1.0.1
โ โ โ โโโ es-errors@1.3.0 deduped
โ โ โ โโโ object-inspect@1.13.4 deduped
โ โ โโโฌ side-channel-map@1.0.1
โ โ โ โโโฌ call-bound@1.0.4
โ โ โ โ โโโ call-bind-apply-helpers@1.0.2 deduped
โ โ โ โ โโโ get-intrinsic@1.3.0 deduped
โ โ โ โโโ es-errors@1.3.0 deduped
โ โ โ โโโ get-intrinsic@1.3.0 deduped
โ โ โ โโโ object-inspect@1.13.4 deduped
โ โ โโโฌ side-channel-weakmap@1.0.2
โ โ โโโ call-bound@1.0.4 deduped
โ โ โโโ es-errors@1.3.0 deduped
โ โ โโโ get-intrinsic@1.3.0 deduped
โ โ โโโ object-inspect@1.13.4 deduped
โ โ โโโ side-channel-map@1.0.1 deduped
โ โโโ range-parser@1.2.1
โ โโโ safe-buffer@5.2.1
โ โโโฌ send@0.19.2
โ โ โโโ debug@2.6.9 deduped
โ โ โโโ depd@2.0.0 deduped
โ โ โโโ destroy@1.2.0 deduped
โ โ โโโ encodeurl@2.0.0 deduped
โ โ โโโ escape-html@1.0.3 deduped
โ โ โโโ etag@1.8.1 deduped
โ โ โโโ fresh@0.5.2 deduped
โ โ โโโ http-errors@2.0.1 deduped
โ โ โโโ mime@1.6.0
โ โ โโโ ms@2.1.3
โ โ โโโ on-finished@2.4.1 deduped
โ โ โโโ range-parser@1.2.1 deduped
โ โ โโโ statuses@2.0.2 deduped
โ โโโฌ serve-static@1.16.3
โ โ โโโ encodeurl@2.0.0 deduped
โ โ โโโ escape-html@1.0.3 deduped
โ โ โโโ parseurl@1.3.3 deduped
โ โ โโโ send@0.19.2 deduped
โ โโโ setprototypeof@1.2.0
โ โโโ statuses@2.0.2
โ โโโฌ type-is@1.6.18
โ โ โโโ media-typer@0.3.0
โ โ โโโ mime-types@2.1.35 deduped
โ โโโ utils-merge@1.0.1
โ โโโ vary@1.1.2 deduped
โโโฌ fs-extra@11.3.0
โ โโโ graceful-fs@4.2.11
โ โโโฌ jsonfile@6.2.1
โ โ โโโ graceful-fs@4.2.11 deduped
โ โ โโโ universalify@2.0.1 deduped
โ โโโ universalify@2.0.1
โโโฌ node-red-admin@4.1.5
โ โโโ @node-rs/bcrypt@1.10.7 deduped
โ โโโ ansi-colors@4.1.3
โ โโโฌ axios@1.15.0
โ โ โโโ follow-redirects@1.16.0
โ โ โโโฌ form-data@4.0.5
โ โ โ โโโ asynckit@0.4.0 deduped
โ โ โ โโโ combined-stream@1.0.8 deduped
โ โ โ โโโ es-set-tostringtag@2.1.0 deduped
โ โ โ โโโ hasown@2.0.3 deduped
โ โ โ โโโ mime-types@2.1.35 deduped
โ โ โโโ proxy-from-env@2.1.0
โ โโโ bcryptjs@3.0.3 deduped
โ โโโฌ cli-table@0.3.11
โ โ โโโ colors@1.0.3
โ โโโฌ enquirer@2.4.1
โ โ โโโ ansi-colors@4.1.3 deduped
โ โ โโโฌ strip-ansi@6.0.1
โ โ โโโ ansi-regex@5.0.1
โ โโโ minimist@1.2.8
โ โโโ mustache@4.2.0 deduped
โ โโโฌ read@3.0.1
โ โโโ mute-stream@1.0.0
โโโฌ nopt@5.0.0
โ โโโ abbrev@1.1.1
โโโ semver@7.7.4
OK, I was using Windows 11. Just tried on a test install on Debian Linux and got a completely different result. This with just Node-RED v4.1.8
~/nr-public$ npm audit
# npm audit report
uuid <14.0.0
Severity: moderate
uuid: Missing buffer bounds check in v3/v5/v6 when buf is provided - https://github.com/advisories/GHSA-w5hq-g745-h8pq
fix available via `npm audit fix --force`
Will install node-red@1.3.7, which is a breaking change
node_modules/uuid
@node-red/nodes 2.0.0-beta.1 - 5.0.0-beta.5
Depends on vulnerable versions of uuid
node_modules/@node-red/nodes
node-red 2.0.0-beta.1 - 5.0.0-beta.5
Depends on vulnerable versions of @node-red/nodes
node_modules/node-red
3 moderate severity vulnerabilities
Weird that Windows and Linux have very different results.
Good that the issue can be replicated. Is Node-RED affected by this security vulnerability?
Hard to say really. I don't really know what the vulnerability actually is.
You could always try to see if an override (see the package.json documentation on overrides) to a new version of uuid will work. Hard to say without trying it.
I think, that the gap between the used v9 and the current version (v14) looks quite big. Even if it is possible to replace the software package, users won't be sure, if the faulty generated UUIDs aren't baked into flows.json somehow. Someone with more insights into Node-RED is needed here.
I agree, just might be worth a try though - but maybe with v12 - so not the latest. I did take a quick look at the breaking changes and I'm pretty sure v14 wouldn't work.
The real question is whether the call(s) to uuid are buried well enough to mitigate the risk. And I don't know the answer I'm afraid. I used to have a direct call to a uuid in the uibuilder code but I got rid of it. Unfortunately, there is a hidden dependency in the docs that I can't get rid of as yet.
The uuid problem has settled with latest Node-RED (4.1.9). But now, there are other findings:
brace-expansion 2.0.0 - 2.0.2
Severity: moderate
brace-expansion: Zero-step sequence causes process hang and memory exhaustion - https://github.com/advisories/GHSA-f886-m6hf-6m8v
fix available via `npm audit fix`
node_modules/npm/node_modules/brace-expansion
ip-address <=10.1.0
Severity: moderate
ip-address has XSS in Address6 HTML-emitting methods - https://github.com/advisories/GHSA-v2v4-37r5-5v8g
fix available via `npm audit fix`
node_modules/npm/node_modules/ip-address
picomatch 4.0.0 - 4.0.3
Severity: high
Picomatch: Method Injection in POSIX Character Classes causes incorrect Glob Matching - https://github.com/advisories/GHSA-3v7f-55p6-f55p
Picomatch has a ReDoS vulnerability via extglob quantifiers - https://github.com/advisories/GHSA-c2c7-rcm5-vvqj
Not uncommon I'm afraid when using complex node.js apps.
Unless you are in a high-security, highly-sensitive or high-audit environment, you will likely drive yourself crazy trying to chase these down. If you are in one of those environments, you will very likely need the support of some specialist expertise in order to work out whether those issues are actually relevant.
@augjoh the audit warnings in 4.1.9 are due to the fact we now bundle the npm module in Node-RED to address other security issues. They have have yet published a maintenance release on their 10.x stream to pickup these updates. We can't update to their 11.x stream due to the older node.js support requirements. Node-RED 5 doesn't have the same constraints so has already moved to npm 11. Not much we can do until they publish an update.
