Closed ghost closed 2 years ago
大佬,看你这个项目调用了tar等627个开源组件,存在6个安全漏洞,建议你升级下。
漏洞标题:Npm Node-tar 后置链接漏洞 漏洞编号:CVE-2021-37712 漏洞描述: node-tar是一款用于文件压缩/解压缩的软件包。 Npm Node-tar 中存在后置链接漏洞,该漏洞源于产品未对特殊字符做有效验证。攻击者可通过该漏洞在其他路径创建恶意文件。 影响范围:[6.0.0, 6.1.9) 最小修复版本:6.1.9 引入路径: JWPlay@1.2.2->@electron-forge/cli@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->tar@6.1.6 JWPlay@1.2.2->@electron-forge/maker-rpm@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->node-gyp@7.1.2->tar@6.1.6 JWPlay@1.2.2->@electron-forge/maker-rpm@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->tar@6.1.6 JWPlay@1.2.2->@electron-forge/maker-zip@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->tar@6.1.6 JWPlay@1.2.2->@electron-forge/maker-zip@6.0.0-beta.54->@electron-forge/maker-base@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->tar@6.1.6 JWPlay@1.2.2->@electron-forge/maker-deb@6.0.0-beta.54->@electron-forge/maker-base@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->tar@6.1.6 JWPlay@1.2.2->@electron-forge/maker-deb@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->tar@6.1.6 JWPlay@1.2.2->@electron-forge/maker-deb@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->node-gyp@7.1.2->tar@6.1.6 JWPlay@1.2.2->@electron-forge/cli@6.0.0-beta.54->@electron-forge/core@6.0.0-beta.54->electron-rebuild@2.3.5->node-gyp@7.1.2->tar@6.1.6 JWPlay@1.2.2->@electron-forge/maker-squirrel@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->tar@6.1.6 JWPlay@1.2.2->@electron-forge/cli@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->node-gyp@7.1.2->tar@6.1.6 JWPlay@1.2.2->@electron-forge/cli@6.0.0-beta.54->@electron-forge/core@6.0.0-beta.54->electron-rebuild@2.3.5->tar@6.1.6 JWPlay@1.2.2->@electron-forge/maker-squirrel@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->node-gyp@7.1.2->tar@6.1.6 JWPlay@1.2.2->@electron-forge/maker-zip@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->node-gyp@7.1.2->tar@6.1.6 JWPlay@1.2.2->@electron-forge/cli@6.0.0-beta.54->@electron-forge/core@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->tar@6.1.6 JWPlay@1.2.2->@electron-forge/maker-rpm@6.0.0-beta.54->@electron-forge/maker-base@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->tar@6.1.6 JWPlay@1.2.2->@electron-forge/maker-squirrel@6.0.0-beta.54->@electron-forge/maker-base@6.0.0-beta.54->@electron-forge/shared-types@6.0.0-beta.54->electron-rebuild@2.3.5->tar@6.1.6
另外5个漏洞 ,信息有点多我就不贴了,你自己看下完整报告:https://www.mfsec.cn/jr?p=a4191d 你对这个issues有任何疑问可以回复我,我能看见哈。
大佬,看你这个项目调用了tar等627个开源组件,存在6个安全漏洞,建议你升级下。
另外5个漏洞 ,信息有点多我就不贴了,你自己看下完整报告:https://www.mfsec.cn/jr?p=a4191d 你对这个issues有任何疑问可以回复我,我能看见哈。