Closed cander0815 closed 1 year ago
最近npm包vm2爆出安全漏洞,你们现在以来的 "urllib": "^2.34.1",底层有依赖这个包,是否可以升级下这个依赖,去除vm2这个包的漏洞?
漏洞描述: https://paper.seebug.org/2062/
针对这个 vm2 的问题,主要是 PAC 代理的支持有使用到。SDK 本身是没有用到的。只要不主动使用vm2或者 pac-proxy 就没问题,可以放心使用。
关于迟迟没有升级 urllib 是因为当前使用的版本是兼容到 node v6 的,如果升级到 urllib 3.x 那么对 node 的最低兼容版本将会跃升至 14.x。
urllib
该问题已经解决,现在安装不会有警告
最近npm包vm2爆出安全漏洞,你们现在以来的 "urllib": "^2.34.1",底层有依赖这个包,是否可以升级下这个依赖,去除vm2这个包的漏洞?
漏洞描述: https://paper.seebug.org/2062/