Доброго дня!
Реагировать хотя бы на уязвимости уровня high пожалуй стоит.
Обычно npm подсказывает, какую команду запустить, чтобы устранить угрозу.
Выполните
npm audit
И следуйте его советам, как правило, это помогает.
Сама по себе команда
npm i
не устанавливает новую версию пакета, если в зависимостях указаны конкретные версии (или диапазоны версий).
