yarn audit --groups dependencies results in the following on the 7.x branch:
yarn audit v1.22.22
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Prototype Pollution in JSON5 via Parse Method │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ json5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=1.0.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ember-cli-babel │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ember-cli-babel > babel-plugin-module-resolver > │
│ │ find-babel-config > json5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1096543 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Prototype Pollution in JSON5 via Parse Method │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ json5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=2.2.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ember-cli-babel │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ember-cli-babel > @babel/core > json5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1096544 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Prototype Pollution in JSON5 via Parse Method │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ json5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=2.2.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ember-cli-babel │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ember-cli-babel > broccoli-babel-transpiler > @babel/core > │
│ │ json5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1096544 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ Prototype Pollution in JSON5 via Parse Method │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ json5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=2.2.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ember-cli-babel │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ember-cli-babel > broccoli-babel-transpiler > workerpool > │
│ │ @babel/core > json5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1096544 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ critical │ Babel vulnerable to arbitrary code execution when compiling │
│ │ specifically crafted malicious code │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ @babel/traverse │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=7.23.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ember-cli-babel │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ember-cli-babel > @babel/core > @babel/traverse │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1096886 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ critical │ Babel vulnerable to arbitrary code execution when compiling │
│ │ specifically crafted malicious code │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ @babel/traverse │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=7.23.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ember-cli-babel │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ember-cli-babel > @babel/core > │
│ │ @babel/helper-module-transforms > @babel/traverse │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1096886 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ critical │ Babel vulnerable to arbitrary code execution when compiling │
│ │ specifically crafted malicious code │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ @babel/traverse │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=7.23.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ember-cli-babel │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ember-cli-babel > broccoli-babel-transpiler > @babel/core > │
│ │ @babel/helper-module-transforms > @babel/traverse │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1096886 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ critical │ Babel vulnerable to arbitrary code execution when compiling │
│ │ specifically crafted malicious code │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ @babel/traverse │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=7.23.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ember-cli-babel │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ember-cli-babel > broccoli-babel-transpiler > workerpool > │
│ │ @babel/core > @babel/helper-module-transforms > │
│ │ @babel/traverse │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1096886 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=7.5.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ember-cli-babel │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ember-cli-babel > @babel/preset-env > core-js-compat > │
│ │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1098562 │
└───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ high │ semver vulnerable to Regular Expression Denial of Service │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=7.5.2 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ ember-cli-babel │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ ember-cli-babel > @babel/plugin-transform-runtime > │
│ │ babel-plugin-polyfill-corejs3 > core-js-compat > semver │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1098562 │
└───────────────┴──────────────────────────────────────────────────────────────┘
10 vulnerabilities found - Packages audited: 375
Severity: 6 High | 4 Critical
Done in 0.80s.
yarn audit --groups dependenciesresults in the following on the 7.x branch: