【Laravel】【PHP】「laravel-mix」が依存している「webpack-dev-server」で「high severity vulnerability」と言われた場合の手順
以下の環境で発生しましたので、対応方法メモ。
- Laravel 5.6.39
- Laradock
- composerからcreate projectした
ログ
found 1 high severity vulnerability run `npm audit fix` to fix them, or `npm audit` for details
$ npm audit root@1f443744df67:/var/www# npm audit === npm audit security report === # Run npm install --save-dev laravel-mix@4.0.14 to resolve 1 vulnerability SEMVER WARNING: Recommended action is a potentially breaking change ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ High │ Missing Origin Validation │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ webpack-dev-server │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ laravel-mix [dev] │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ laravel-mix > webpack-dev-server │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://nodesecurity.io/advisories/725 │ └───────────────┴──────────────────────────────────────────────────────────────┘ found 1 high severity vulnerability in 11836 scanned packages 1 vulnerability requires semver-major dependency updates.
laravel-mixが参照しているwebpack-dev-server が脆弱性があるバージョンになっているようです。
package.json
"laravel-mix": "^2.0
auditが教えてくれる通りに実行
$ npm install --save laravel-mix@4.0.14 + laravel-mix@4.0.14 updated 1 package and audited 14844 packages in 34.812s found 0 vulnerabilities
問題なくなりました。
package.json
"laravel-mix": "^4.0.14",
Laravelのバージョンに寄っては発生しないかも。