Что делать, когда nsp находит уязвимость в зависимости зависимости

Я запустил nsp для проекта, который собираюсь развернуть, и у меня появилась эта уязвимость

 Name          │ mime
 CVSS          │ 7.5 (High)
 Installed     │ 1.2.11
 Vulnerable    │ < 1.4.1 || > 2.0.0 < 2.0.3
 Patched       │ >= 1.4.1 < 2.0.0 || >= 2.0.3
 Path          │ myProject@1.0.0 > winston-s3@1.0.0 > winston@0.7.3 > request@2.16.6 > form-data@0.0.10 > mime@1.2.11
 More Info     │ https://nodesecurity.io/advisories/535

Теперь я понимаю, что мне нужно обновить зависимость "MIME", но моя проблема в том, что уязвимость находится внутри зависимости зависимости.

Моя зависимость 'winston-s3' актуальна, когда я иду в 'node_modules/winston-s3/node_modules/winston/', там нет каталога 'node_modules' и зависимость 'mime' в главном ' Каталог node_modules обновлен, поэтому я думаю, что winston-s3 не использует этот код.

Есть идеи, как это исправить?

Большое спасибо!