Report Summary ┌───────────┬──────┬─────────────────┐ │ Target │ Type │ Vulnerabilities │ ├───────────┼──────┼─────────────────┤ │ yarn.lock │ yarn │ 19 │ └───────────┴──────┴─────────────────┘ Legend: - '-': Not scanned - '0': Clean (no security findings detected) yarn.lock (yarn) ================ Total: 19 (UNKNOWN: 0, LOW: 6, MEDIUM: 11, HIGH: 2, CRITICAL: 0) ┌─────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬────────────────────────────────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ axios │ CVE-2025-58754 │ HIGH │ fixed │ 1.11.0 │ 1.12.0, 0.30.2 │ axios: Axios DoS via lack of data size check │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58754 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ brace-expansion │ CVE-2025-5889 │ LOW │ │ 1.1.11 │ 2.0.2, 1.1.12, 3.0.1, 4.0.1 │ brace-expansion: juliangruber brace-expansion index.js │ │ │ │ │ │ │ │ expand redos │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-5889 │ │ │ │ │ ├───────────────────┤ │ │ │ │ │ │ │ 2.0.1 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ esbuild │ GHSA-67mh-4wv8-2f99 │ MEDIUM │ │ 0.14.51 │ 0.25.0 │ esbuild enables any website to send any requests to the │ │ │ │ │ │ │ │ development server... │ │ │ │ │ │ │ │ https://github.com/advisories/GHSA-67mh-4wv8-2f99 │ │ │ │ │ ├───────────────────┤ │ │ │ │ │ │ │ 0.14.54 │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ on-headers │ CVE-2025-7339 │ LOW │ │ 1.0.2 │ 1.1.0 │ on-headers: on-headers vulnerable to http response header │ │ │ │ │ │ │ │ manipulation │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-7339 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ rollup │ CVE-2024-47068 │ HIGH │ │ 2.77.3 │ 3.29.5, 4.22.4, 2.79.2 │ rollup: DOM Clobbering Gadget found in rollup bundled │ │ │ │ │ │ │ │ scripts that leads to... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-47068 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ tmp │ CVE-2025-54798 │ LOW │ │ 0.0.33 │ 0.2.4 │ tmp: tmp Symbolic Link Write Vulnerability │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-54798 │ ├─────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ vite │ CVE-2024-45811 │ MEDIUM │ │ 2.9.18 │ 5.4.6, 5.3.6, 5.2.14, 4.5.4, 3.2.11, 5.1.8 │ vite: server.fs.deny is bypassed when using `?import&raw` │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45811 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2024-45812 │ │ │ │ │ vite: XSS via DOM Clobbering gadget found in vite bundled │ │ │ │ │ │ │ │ scripts │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2024-45812 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-24010 │ │ │ │ 6.0.9, 5.4.12, 4.5.6 │ vite: Vite allows any websites to send any requests to the │ │ │ │ │ │ │ │ development... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-24010 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-30208 │ │ │ │ 6.2.3, 6.1.2, 6.0.12, 5.4.15, 4.5.10 │ vite: Vite bypasses server.fs.deny when using `?raw??` │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-30208 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-31125 │ │ │ │ 6.2.4, 6.1.3, 6.0.13, 5.4.16, 4.5.11 │ vite: Vite has a `server.fs.deny` bypassed for `inline` and │ │ │ │ │ │ │ │ `raw` with `?import`... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-31125 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-31486 │ │ │ │ 6.2.5, 6.1.4, 6.0.14, 5.4.17, 4.5.12 │ vite: Vite allows server.fs.deny to be bypassed with .svg or │ │ │ │ │ │ │ │ relative paths... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-31486 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-32395 │ │ │ │ 6.2.6, 6.1.5, 6.0.15, 5.4.18, 4.5.13 │ vite: Vite has an `server.fs.deny` bypass with an invalid │ │ │ │ │ │ │ │ `request-target` │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-32395 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-46565 │ │ │ │ 6.3.4, 6.2.7, 6.1.6, 5.4.19, 4.5.14 │ vite: Path Traversal in Vite Dev Server Allows Access to │ │ │ │ │ │ │ │ Restricted Files... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-46565 │ │ ├─────────────────────┤ │ │ ├────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-62522 │ │ │ │ 7.1.11, 7.0.8, 6.4.1, 5.4.21 │ vite: vite allows server.fs.deny bypass via backslash on │ │ │ │ │ │ │ │ Windows │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-62522 │ │ ├─────────────────────┼──────────┤ │ ├────────────────────────────────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58751 │ LOW │ │ │ 7.1.5, 7.0.7, 6.3.6, 5.4.20 │ vitejs/vite: lukeed/sirv: Vite middleware may serve files │ │ │ │ │ │ │ │ starting with the same name... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58751 │ │ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58752 │ │ │ │ │ vite: Vite's `server.fs` settings were not applied to HTML │ │ │ │ │ │ │ │ files │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58752 │ └─────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴────────────────────────────────────────────┴──────────────────────────────────────────────────────────────┘