Grommet: XSS security issue in Markdown component

Created on 21 May 2020 · 3Comments · Source: grommet/grommet

npm reports a security issue with the Markdown component.

This parallels issue 306 in the markdown-to-jsx library. When they fix theirs, we can fix ours.

Expected Behavior

npm audit should report no security issues with Grommet.

Actual Behavior

$ npm audit

                       === npm audit security report ===

┌──────────────────────────────────────────────────────────────────────────────┐
│                                Manual Review                                 │
│            Some vulnerabilities require your attention to resolve            │
│                                                                              │
│         Visit https://go.npm.me/audit-guide for additional guidance          │
└──────────────────────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Cross-Site Scripting                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ markdown-to-jsx                                              │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ No patch available                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ @jcu/webapp                                                  │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ @jcu/webapp > grommet > markdown-to-jsx                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1219                            │
└───────────────┴──────────────────────────────────────────────────────────────┘

Bug waiting

Source