Closed hkyyi closed 1 month ago
2.17.5
青龙2.17.5的underscore版本当前是1.4.4,经过Trivy扫描存在安全漏洞,更新underscore到1.12.1解决这个问题
1.13.0-0 版 至 1.13.0-2 版以及 1.3.2 版至 1.12.1 版的underscore容易受到通过模板函数的任意代码注入,特别是当变量属性作为参数传递时,因为它没有被清理。
underscore使用来自上游组件的受外部影响的输入来构造代码段的全部或部分,但它不会中和或不正确地中和可能修改预期代码段的语法或行为的特殊元素
No response
underscore 来源于 nedb,目前数据存储已经不依赖 nedb,只用于历史数据的迁移
Qinglong version
2.17.5
Steps to reproduce
青龙2.17.5的underscore版本当前是1.4.4,经过Trivy扫描存在安全漏洞,更新underscore到1.12.1解决这个问题
What is expected?
1.13.0-0 版 至 1.13.0-2 版以及 1.3.2 版至 1.12.1 版的underscore容易受到通过模板函数的任意代码注入,特别是当变量属性作为参数传递时,因为它没有被清理。
What is actually happening?
underscore使用来自上游组件的受外部影响的输入来构造代码段的全部或部分,但它不会中和或不正确地中和可能修改预期代码段的语法或行为的特殊元素
System Info
No response
Any additional comments?
No response