ren-wei
commented
1 year ago 有收到,我会在下一个版本更新一下依赖
Closed cMing1997 closed 1 year ago
ren-wei
commented
1 year ago 有收到,我会在下一个版本更新一下依赖
ren-wei
commented
1 year ago 1.5.5 已更新
Version
随意指定
File type
javascript
Steps to Reproduce
无
Current Behavior
无
Expected Behavior
无
Environment
Any additional comments?
我不太清楚作者有没有收到,我这提了一个feature之后,给我发了一个邮件
完整报告: https://www.oscs1024.com/cd/1530680751505514496?sign=55f88a82&report=1
漏洞一: nanoid@3.1.20 - 间接引入 影响描述: nanoid是用于 JavaScript 的小型、安全、URL 友好、唯一的字符串 ID 生成器。nanoid安全中存在漏洞,该漏洞源于nanoid 容易通过 valueOf() 函数受到信息暴露的影响,该函数允许重现最后生成的 id。 漏洞详情: https://www.oscs1024.com/hd/MPS-2021-19605
漏洞二: follow-redirects@1.14.7 - 间接引入 影响描述: Exposure of Sensitive Information to an Unauthorized Actor in NPM follow-redirects prior to 1.14.8. 漏洞详情: https://www.oscs1024.com/hd/MPS-2022-3636