I know that almost all dependencies vulnerabilities are not applicable in most usecases because the code is not called. But most companies have adopted some sort of security scanning for their dependencies (snik, trivy, ...).
Report Summary
┌────────────────────────────────────┬──────┬─────────────────┬─────────┐
│ Target │ Type │ Vulnerabilities │ Secrets │
├────────────────────────────────────┼──────┼─────────────────┼─────────┤
│ base-action/bun.lock │ bun │ 12 │ - │
├────────────────────────────────────┼──────┼─────────────────┼─────────┤
│ base-action/package-lock.json │ npm │ 5 │ - │
├────────────────────────────────────┼──────┼─────────────────┼─────────┤
│ base-action/test/mcp-test/bun.lock │ bun │ 9 │ - │
├────────────────────────────────────┼──────┼─────────────────┼─────────┤
│ bun.lock │ bun │ 14 │ - │
└────────────────────────────────────┴──────┴─────────────────┴─────────┘
Legend:
- '-': Not scanned
- '0': Clean (no security findings detected)
base-action/bun.lock (bun)
Total: 12 (UNKNOWN: 0, LOW: 0, MEDIUM: 10, HIGH: 2, CRITICAL: 0)
┌───────────────────┬─────────────────────┬──────────┬────────┬───────────────────┬────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├───────────────────┼─────────────────────┼──────────┼────────┼───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ @hono/node-server │ CVE-2026-39406 │ MEDIUM │ fixed │ 1.19.11 │ 1.19.13 │ @hono/node-server: Middleware bypass via repeated slashes in │
│ │ │ │ │ │ │ serveStatic │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-39406 │
├───────────────────┼─────────────────────┤ │ ├───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ hono │ CVE-2026-39407 │ │ │ 4.12.9 │ 4.12.12 │ Hono: Middleware bypass via repeated slashes in serveStatic │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-39407 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-39408 │ │ │ │ │ Hono: Path traversal in toSSG() allows writing files outside │
│ │ │ │ │ │ │ the output directory... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-39408 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-39409 │ │ │ │ │ Hono has incorrect IP matching in ipRestriction() for │
│ │ │ │ │ │ │ IPv4-mapped IPv6 addresses │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-39409 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-39410 │ │ │ │ │ Hono: Non-breaking space prefix bypass in cookie name │
│ │ │ │ │ │ │ handling in getCookie() │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-39410 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ GHSA-26pp-8wgv-hjvm │ │ │ │ │ Hono missing validation of cookie name on write path in │
│ │ │ │ │ │ │ setCookie() │
│ │ │ │ │ │ │ https://github.com/advisories/GHSA-26pp-8wgv-hjvm │
│ ├─────────────────────┤ │ │ ├────────────────┼──────────────────────────────────────────────────────────────┤
│ │ GHSA-458j-xx4x-4375 │ │ │ │ 4.12.14 │ hono Improperly Handles JSX Attribute Names Allows HTML │
│ │ │ │ │ │ │ Injection in hono/jsx SSR... │
│ │ │ │ │ │ │ https://github.com/advisories/GHSA-458j-xx4x-4375 │
├───────────────────┼─────────────────────┼──────────┤ ├───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ undici │ CVE-2026-1526 │ HIGH │ │ 5.29.0 │ 6.24.0, 7.24.0 │ undici: undici: Denial of Service via unbounded memory │
│ │ │ │ │ │ │ consumption during WebSocket permessage-deflate... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1526 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-2229 │ │ │ │ │ undici: Undici: Denial of Service via invalid WebSocket │
│ │ │ │ │ │ │ permessage-deflate extension parameter │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-2229 │
│ ├─────────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-1525 │ MEDIUM │ │ │ │ undici: Undici: HTTP Request Smuggling and Denial of Service │
│ │ │ │ │ │ │ due to duplicate... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1525 │
│ ├─────────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-1527 │ │ │ │ │ undici: Undici: HTTP header injection and request smuggling │
│ │ │ │ │ │ │ vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1527 │
│ ├─────────────────────┤ │ │ ├────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-22036 │ │ │ │ 7.18.2, 6.23.0 │ undici: Undici: Denial of Service via excessive │
│ │ │ │ │ │ │ decompression steps │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22036 │
└───────────────────┴─────────────────────┴──────────┴────────┴───────────────────┴────────────────┴──────────────────────────────────────────────────────────────┘
base-action/package-lock.json (npm)
Total: 5 (UNKNOWN: 0, LOW: 0, MEDIUM: 3, HIGH: 2, CRITICAL: 0)
┌─────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├─────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ undici │ CVE-2026-1526 │ HIGH │ fixed │ 5.29.0 │ 6.24.0, 7.24.0 │ undici: undici: Denial of Service via unbounded memory │
│ │ │ │ │ │ │ consumption during WebSocket permessage-deflate... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1526 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-2229 │ │ │ │ │ undici: Undici: Denial of Service via invalid WebSocket │
│ │ │ │ │ │ │ permessage-deflate extension parameter │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-2229 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-1525 │ MEDIUM │ │ │ │ undici: Undici: HTTP Request Smuggling and Denial of Service │
│ │ │ │ │ │ │ due to duplicate... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1525 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-1527 │ │ │ │ │ undici: Undici: HTTP header injection and request smuggling │
│ │ │ │ │ │ │ vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1527 │
│ ├────────────────┤ │ │ ├────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-22036 │ │ │ │ 7.18.2, 6.23.0 │ undici: Undici: Denial of Service via excessive │
│ │ │ │ │ │ │ decompression steps │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22036 │
└─────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────┴──────────────────────────────────────────────────────────────┘
base-action/test/mcp-test/bun.lock (bun)
Total: 9 (UNKNOWN: 0, LOW: 1, MEDIUM: 4, HIGH: 4, CRITICAL: 0)
┌───────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├───────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ @modelcontextprotocol/sdk │ CVE-2025-66414 │ HIGH │ fixed │ 1.12.0 │ 1.24.0 │ Model Context Protocol (MCP) TypeScript SDK does not enable │
│ │ │ │ │ │ │ DNS rebinding protection... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-66414 │
│ ├────────────────┤ │ │ ├────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-0621 │ │ │ │ 1.25.2 │ Anthropic's MCP TypeScript SDK has a ReDoS vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-0621 │
│ ├────────────────┤ │ │ ├────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-25536 │ │ │ │ 1.26.0 │ @modelcontextprotocol/sdk: @modelcontextprotocol/sdk │
│ │ │ │ │ │ │ cross-client data leak │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25536 │
├───────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ ajv │ CVE-2025-69873 │ MEDIUM │ │ 6.12.6 │ 8.18.0, 6.14.0 │ ajv: ReDoS via $data reference │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69873 │
├───────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ body-parser │ CVE-2025-13466 │ │ │ 2.2.0 │ 2.2.1 │ body-parser: body-parser denial of service │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-13466 │
├───────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ path-to-regexp │ CVE-2026-4926 │ HIGH │ │ 8.2.0 │ 8.4.0 │ path-to-regexp: path-to-regexp: Denial of Service via │
│ │ │ │ │ │ │ crafted regular expressions │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4926 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-4923 │ MEDIUM │ │ │ │ path-to-regexp: path-to-regexp: Denial of Service via │
│ │ │ │ │ │ │ specially crafted paths with multiple wildcards... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4923 │
├───────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ qs │ CVE-2025-15284 │ │ │ 6.14.0 │ 6.14.1 │ qs: qs: Denial of Service via improper input validation in │
│ │ │ │ │ │ │ array parsing... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-15284 │
│ ├────────────────┼──────────┤ │ ├────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-2391 │ LOW │ │ │ 6.14.2 │ qs: qs's arrayLimit bypass in comma parsing allows denial of │
│ │ │ │ │ │ │ service │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-2391 │
└───────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────┴──────────────────────────────────────────────────────────────┘
bun.lock (bun)
Total: 14 (UNKNOWN: 0, LOW: 1, MEDIUM: 7, HIGH: 6, CRITICAL: 0)
┌───────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │
├───────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ @modelcontextprotocol/sdk │ CVE-2025-66414 │ HIGH │ fixed │ 1.16.0 │ 1.24.0 │ Model Context Protocol (MCP) TypeScript SDK does not enable │
│ │ │ │ │ │ │ DNS rebinding protection... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-66414 │
│ ├────────────────┤ │ │ ├────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-0621 │ │ │ │ 1.25.2 │ Anthropic's MCP TypeScript SDK has a ReDoS vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-0621 │
│ ├────────────────┤ │ │ ├────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-25536 │ │ │ │ 1.26.0 │ @modelcontextprotocol/sdk: @modelcontextprotocol/sdk │
│ │ │ │ │ │ │ cross-client data leak │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-25536 │
├───────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ ajv │ CVE-2025-69873 │ MEDIUM │ │ 6.12.6 │ 8.18.0, 6.14.0 │ ajv: ReDoS via $data reference │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-69873 │
├───────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ body-parser │ CVE-2025-13466 │ │ │ 2.2.0 │ 2.2.1 │ body-parser: body-parser denial of service │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-13466 │
├───────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ path-to-regexp │ CVE-2026-4926 │ HIGH │ │ 8.2.0 │ 8.4.0 │ path-to-regexp: path-to-regexp: Denial of Service via │
│ │ │ │ │ │ │ crafted regular expressions │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4926 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-4923 │ MEDIUM │ │ │ │ path-to-regexp: path-to-regexp: Denial of Service via │
│ │ │ │ │ │ │ specially crafted paths with multiple wildcards... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-4923 │
├───────────────────────────┼────────────────┤ │ ├───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ qs │ CVE-2025-15284 │ │ │ 6.14.0 │ 6.14.1 │ qs: qs: Denial of Service via improper input validation in │
│ │ │ │ │ │ │ array parsing... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-15284 │
│ ├────────────────┼──────────┤ │ ├────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-2391 │ LOW │ │ │ 6.14.2 │ qs: qs's arrayLimit bypass in comma parsing allows denial of │
│ │ │ │ │ │ │ service │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-2391 │
├───────────────────────────┼────────────────┼──────────┤ ├───────────────────┼────────────────┼──────────────────────────────────────────────────────────────┤
│ undici │ CVE-2026-1526 │ HIGH │ │ 5.29.0 │ 6.24.0, 7.24.0 │ undici: undici: Denial of Service via unbounded memory │
│ │ │ │ │ │ │ consumption during WebSocket permessage-deflate... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1526 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-2229 │ │ │ │ │ undici: Undici: Denial of Service via invalid WebSocket │
│ │ │ │ │ │ │ permessage-deflate extension parameter │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-2229 │
│ ├────────────────┼──────────┤ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-1525 │ MEDIUM │ │ │ │ undici: Undici: HTTP Request Smuggling and Denial of Service │
│ │ │ │ │ │ │ due to duplicate... │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1525 │
│ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-1527 │ │ │ │ │ undici: Undici: HTTP header injection and request smuggling │
│ │ │ │ │ │ │ vulnerability │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-1527 │
│ ├────────────────┤ │ │ ├────────────────┼──────────────────────────────────────────────────────────────┤
│ │ CVE-2026-22036 │ │ │ │ 7.18.2, 6.23.0 │ undici: Undici: Denial of Service via excessive │
│ │ │ │ │ │ │ decompression steps │
│ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2026-22036 │
└───────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴────────────────┴──────────────────────────────────────────────────────────────┘
I know that almost all dependencies vulnerabilities are not applicable in most usecases because the code is not called. But most companies have adopted some sort of security scanning for their dependencies (snik, trivy, ...).
Would it be possible to address those: