moyashidaisuke's diary

フリーランスのエンジニアのダイスケです。プログラム関連とかギター関連とか旅行関連とか色々。

【Laravel】【PHP】「laravel-mix」が依存している「webpack-dev-server」で「high severity vulnerability」と言われた場合の手順

以下の環境で発生しましたので、対応方法メモ。

  • Laravel 5.6.39
  • Laradock
  • composerからcreate projectした

ログ

found 1 high severity vulnerability
  run `npm audit fix` to fix them, or `npm audit` for details
$ npm audit

root@1f443744df67:/var/www# npm audit

                       === npm audit security report ===

# Run  npm install --save-dev laravel-mix@4.0.14  to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Missing Origin Validation                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ webpack-dev-server                                           │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ laravel-mix [dev]                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ laravel-mix > webpack-dev-server                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/725                       │
└───────────────┴──────────────────────────────────────────────────────────────┘


found 1 high severity vulnerability in 11836 scanned packages
  1 vulnerability requires semver-major dependency updates.

laravel-mixが参照しているwebpack-dev-server が脆弱性があるバージョンになっているようです。

package.json

"laravel-mix": "^2.0

auditが教えてくれる通りに実行

$ npm install --save laravel-mix@4.0.14

+ laravel-mix@4.0.14
updated 1 package and audited 14844 packages in 34.812s
found 0 vulnerabilities

問題なくなりました。

package.json

"laravel-mix": "^4.0.14",

Laravelのバージョンに寄っては発生しないかも。