1
訳:
We found potential security vulnerabilities in your dependencies.
依存関係に潜在的なセキュリティの脆弱性が見つかりました。
2
をクリックすると
3
Dependabot alerts surface known security vulnerabilities in some dependency manifest files. Dependabot security updates automatically keep your application up-to-date by updating dependencies in response to these alerts. Dependabot version updates can also help keep dependencies updated.
訳:Dependabotアラートは、一部の依存関係マニフェストファイルの既知のセキュリティ脆弱性を表面化します。 Dependabotのセキュリティ更新は、これらのアラートに応答して依存関係を更新することにより、アプリケーションを自動的に最新の状態に保ちます。 Dependabotのバージョン更新は、依存関係を最新の状態に保つのにも役立ちます。
4
さらに内容を確認
Vulnerable versions: >= 2.1.0, < 4.2.2
Patched version: 4.2.2
The is-svg package 2.1.0 through 4.2.1 for Node.js uses a regular expression that is vulnerable to Regular Expression Denial of Service (ReDoS). If an attacker provides a malicious string, is-svg will get stuck processing the input for a very long time.
訳
脆弱なバージョン:> = 2.1.0、<4.2.2
パッチ適用バージョン:4.2.2
Node.js用のis-svgパッケージ2.1.0から4.2.1は、正規表現のサービス拒否(ReDoS)に対して脆弱な正規表現を使用します。攻撃者が悪意のある文字列を提供すると、is-svgは非常に長い間入力の処理でスタックします。