Resultados de npm audit (22 marzo 2026)
nvito-api
- 33 vulnerabilidades: 2 low, 16 moderate, 14 high, 1 critical
- Origen principal:
undici(HTTP client interno de Node.js) - Fix:
npm audit fix(sin breaking changes)
nvito-admin
- 6 vulnerabilidades: 2 moderate, 4 high
- Origen principal:
undicivia Next.js - Fix:
npm audit fix
nvito-invitations
- 7 vulnerabilidades: 3 moderate, 4 high
- Origen principal:
undicivia Next.js - Fix:
npm audit fix
nvito-client
- 10 vulnerabilidades: 5 low, 1 moderate, 4 high
- Origen principal:
undicivia Expo/React Native - Fix:
npm audit fix
nvito-pwa
- 1 vulnerabilidad: moderate
- Origen:
next— CSRF bypass en Server Actions con null origin - Fix:
npm audit fix --force(actualiza next a 16.2.1)
Vulnerabilidades criticas identificadas
undici (afecta todos los repos)
undici es el HTTP client interno de Node.js (usado por fetch nativo). Las vulnerabilidades son:
| CVE | Severidad | Descripción |
|---|---|---|
| GHSA-2mjp-6q6p-2qxm | High | HTTP Request/Response Smuggling |
| GHSA-vrm6-8vpv-qv8q | High | Memory consumption en WebSocket |
| GHSA-v9p9-hfj2-hcw8 | Moderate | Unhandled Exception en WebSocket |
| GHSA-4992-7rv2-5pvq | High | CRLF Injection via upgrade option |
| GHSA-phc3-fgpg-7m6h | High | Memory consumption en DeduplicationHandler |
Impacto en Nvito: Bajo-medio. Nvito no usa WebSocket de undici directamente ni la opción upgrade. El riesgo principal es HTTP smuggling que podria afectar proxies.
Acción: Ejecutar npm audit fix en cada repo para actualizar undici a la versión parcheada.
next (afecta nvito-pwa)
| CVE | Severidad | Descripción |
|---|---|---|
| GHSA-mq59-m269-xvcx | Moderate | null origin bypass en Server Actions CSRF |
| GHSA-jcc7-9wpm-mj36 | Moderate | null origin bypass en dev HMR websocket |
Impacto en Nvito: Mitigado. nvito-pwa tiene CSRF double-submit HMAC propio que protege independientemente de Next.js. Pero se recomienda actualizar.
Acción: npm audit fix --force actualiza a next@16.2.1.
Politica de gestión de dependencias
Frecuencia de revision
- npm audit: Ejecutar en cada PR y trimestralmente
- Actualizaciones major: Evaluar trimestralmente
- Actualizaciones minor/patch de seguridad: Aplicar inmediatamente
Proceso de actualización
- Ejecutar
npm auditen el repo - Si hay vulnerabilidades moderate o superior:
npm audit fixpara fixes sin breaking changes- Si requiere
--force: evaluar impacto en un branch separado
- Ejecutar build + tests completos
- Si pasan: commit y deploy
- Si fallan: evaluar si el fix rompe funcionalidad y buscar alternativa
Herramientas recomendadas
| Herramienta | Tipo | Costo | Estado |
|---|---|---|---|
npm audit | CLI integrado | Gratis | Disponible |
| Snyk | SCA + SAST | Gratis (open source) | Pendiente |
| Dependabot | Actualización automática | Gratis (GitHub) | N/A (usamos GitLab) |
| GitLab Dependency Scanning | SCA | Incluido en GitLab | Pendiente (CI deshabilitado) |
Licencias
Todas las dependencias de producción usan licencias compatibles con uso comercial:
- MIT, Apache-2.0, BSD, ISC
- No se detectaron dependencias GPL/AGPL en producción
Dependencias criticas a monitorear
Estás dependencias son de alto impacto y deben monitorearse activamente:
| Dependencia | Repo | Por que es critica |
|---|---|---|
| @nestjs/* | api | Framework principal del backend |
| @prisma/client | api | ORM — acceso a BD |
| @clerk/nextjs | admin | Autenticación principal |
| next | admin, invitations, pwa | Framework frontend |
| react-native | client | Framework mobile |
| expo | client | Plataforma mobile |
| stripe | api | Procesamiento de pagos |
| ioredis | api, pwa | Cache y rate limiting |
| dompurify | admin, invitations | Sanitizacion XSS |
| zod | todos | Validación de datos |
Comando rápido de auditoria
# Ejecutar en la raiz del workspace
for repo in nvito-api nvito-admin nvito-invitations nvito-client nvito-pwa; do
echo "=== $repo ==="
cd $repo && npm audit --audit-level=moderate 2>&1 | tail -5
cd ..
done