Hi,
Our team is considering utilizing openvidu-broswer and openvidu-node-client libraries for an upcoming project, and we want to ensure that any security risks are thoroughly understood and mitigated. Specifically, we would like to know if the vulnerabilities listed below are severe enough to warrant immediate updates or if they can be managed with existing security practices:
yarn audit
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=7.5.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ openvidu-browser │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ openvidu-browser > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1096482 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ moderate │ Axios Cross-Site Request Forgery Vulnerability │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.6.0 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ openvidu-node-client │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ openvidu-node-client > axios │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1096526 │
└───────────────┴──────────────────────────────────────────────────────────────┘