Closed ghost closed 2 years ago
大佬,看你这个项目调用了path-parse等1265个开源组件,存在16个安全漏洞,建议你升级下。
漏洞标题:npm path-parse 安全漏洞 漏洞编号:CVE-2021-23343 漏洞描述: npm path-parse是美国npm公司的一个应用插件。提供一个路径解析功能。 path-parse 存在安全漏洞,该漏洞源于受到通过splitDeviceRe、splitTailRe和splitPathRe正则表达式的正则表达式拒绝服务(ReDoS)的攻击。 影响范围:(∞, 1.0.7) 最小修复版本:1.0.7 引入路径: @nohost/server@1.3.6->eslint-config-imweb@0.2.19->eslint-plugin-import@2.22.1->eslint-import-resolver-node@0.3.4->resolve@1.19.0->path-parse@1.0.6 @nohost/server@1.3.6->eslint-config-imweb@0.2.19->eslint-plugin-react@7.22.0->resolve@1.19.0->path-parse@1.0.6 @nohost/server@1.3.6->husky@3.0.1->read-pkg@2.0.0->normalize-package-data@2.5.0->resolve@1.19.0->path-parse@1.0.6 @nohost/server@1.3.6->babel-eslint@10.1.0->resolve@1.19.0->path-parse@1.0.6 @nohost/server@1.3.6->jest@26.6.3->@jest/core@26.6.3->jest-resolve@26.6.2->resolve@1.19.0->path-parse@1.0.6 @nohost/server@1.3.6->vuepress@1.8.0->@vuepress/core@1.8.0->vue-server-renderer@2.6.12->resolve@1.19.0->path-parse@1.0.6 @nohost/server@1.3.6->eslint-config-imweb@0.2.19->eslint-plugin-import@2.22.1->resolve@1.19.0->path-parse@1.0.6
另外15个漏洞 ,信息有点多我就不贴了,你自己看下完整报告:https://www.mfsec.cn/jr?p=aa9965 你对这个issues有任何疑问可以回复我,我能看见哈。
这些都是开发阶段用到的依赖包,用户安装时不会加载,找个时间再统一升级下。
avwo
commented
2 years ago avwo
commented
2 years ago
大佬,看你这个项目调用了path-parse等1265个开源组件,存在16个安全漏洞,建议你升级下。
另外15个漏洞 ,信息有点多我就不贴了,你自己看下完整报告:https://www.mfsec.cn/jr?p=aa9965 你对这个issues有任何疑问可以回复我,我能看见哈。