search

whyour / qinglong

支持 Python3、JavaScript、Shell、Typescript 的定时任务管理平台(Timed task management platform supporting Python3, JavaScript, Shell, Typescript)
http://demo.ninesix.cc:4433
Apache License 2.0
15.2k stars 2.86k forks source link

underscore版本 #2389

Closed hkyyi closed 1 month ago

hkyyi commented 1 month ago

Qinglong version

2.17.5

Steps to reproduce

青龙2.17.5的underscore版本当前是1.4.4,经过Trivy扫描存在安全漏洞,更新underscore到1.12.1解决这个问题

What is expected?

1.13.0-0 版 至 1.13.0-2 版以及 1.3.2 版至 1.12.1 版的underscore容易受到通过模板函数的任意代码注入,特别是当变量属性作为参数传递时,因为它没有被清理。

What is actually happening?

underscore使用来自上游组件的受外部影响的输入来构造代码段的全部或部分,但它不会中和或不正确地中和可能修改预期代码段的语法或行为的特殊元素

System Info

No response

Any additional comments?

No response

whyour commented 1 month ago

underscore 来源于 nedb,目前数据存储已经不依赖 nedb,只用于历史数据的迁移