依存元のバージョンを変えなければならない?のか。
特にできることはありません。
一般的に言って、 npm パッケージの脆弱性は第三者から悪意のある入力を受け付けたときに危険が生じるものがほとんどです。本番環境のサーバアプリケーションなどに脆弱性があるとまずいですが、ローカルで動かす(それも自分が作ったファイルを与えて動かす) gulp のようなツールの依存関係に脆弱性があっても心配する必要はあまりありません。
そもそもがguipを導入した時に、脆弱性を含むフィアルがなぜインストールされるのか。
gulp は3年以上メンテナンスされていません。当時問題がなかったパッケージに後から脆弱性が発見されたのでしょう。
バージョンをアップしてそのままインストールしてくれないのか。
gulp 自体の package.json に書かれた依存関係のバージョン範囲内でなら最新バージョンをインストールしますが、脆弱性を直したバージョンがその範囲外であればインストールはしてくれません。