search

umijs / umi

A framework in react community ✨
https://umijs.org
MIT License
15.3k stars 2.65k forks source link

[Bug] umi的 `YUI` 2.9.0 有漏洞,需要升级版本 #7682

Closed hocko333 closed 2 years ago

hocko333 commented 2 years ago

What happens?

不确定这个问题到底是否属于umi,我先描述这个问题,希望可以得到解决方法。 我们的产品的在申请 销售许可证,在申请的时候需要通过安全审查,用的似乎是 acunetix 这个工具。 我们用的是antd pro这个脚手架 截图是检测报告中关于风险的描述 image image

Mini Showcase Repository(REQUIRED)

Please provide a repository using yarn create @umijs/umi-app then upload to your GitHub 请提供一个可复现的仓库,使用 yarn create @umijs/umi-app 创建,并上传到你的 GitHub 仓库

How To Reproduce

Steps to reproduce the behavior: 1. 2.

Expected behavior 1. 2.

Context

hocko333 commented 2 years ago

我找了很久,但没找到是哪里引用了 YUI 😭

hocko333 commented 2 years ago

抱歉,这个问题应该不是umi导致的,我正在排查

jx-zyf commented 2 years ago

抱歉,这个问题应该不是umi导致的,我正在排查

我们项目安全检查也报了这个漏洞,请问找到是哪个模块的依赖了吗?

hocko333 commented 2 years ago

抱歉,这个问题应该不是umi导致的,我正在排查

我们项目安全检查也报了这个漏洞,请问找到是哪个模块的依赖了吗?

@jx-zyf 我已经解决了这个问题,是因为jsencrypt这个库,解决方案看这个issue,https://github.com/travist/jsencrypt/issues/178

jx-zyf commented 2 years ago

抱歉,这个问题应该不是umi导致的,我正在排查

我们项目安全检查也报了这个漏洞,请问找到是哪个模块的依赖了吗?

@jx-zyf 我已经解决了这个问题,是因为jsencrypt这个库,解决方案看这个issue,travist/jsencrypt#178

谢谢!但我们项目中也没有用到 jsencrypt,我再排查一下。