Github Dependabot警报- Babel在编译精心编制的恶意代码时容易受到任意代码执行的攻击

e5nqia27  于 2023-11-15  发布在  Babel
关注(0)|答案(1)|浏览(279)

我在我的Github Repository,我的前端和后端代码的安全部分中收到此警报为 Critical*。
我无法理解这是什么。请解释一下缺陷?
我升级了我的依赖项,这个缺陷得到了解决。但是,我想了解它意味着什么,它有多重要?

cld4siwp

cld4siwp1#

此警告与Babel编译器中的安全漏洞有关。
该漏洞被标识为CVE-2023-45133,严重性等级为“严重”。攻击者可利用该漏洞在使用依赖path.evaluate()path.evaluateTruthy()内部Babel方法的插件进行编译时执行任意代码。该漏洞影响@babel/traverse 7.23.2和8.0.0-alpha.4之前的版本,以及所有版本的babel-traverse
如果你想了解更多细节,你可以在这里阅读:
https://github.com/advisories/GHSA-67hx-6x53-jw92
https://nvd.nist.gov/vuln/detail/CVE-2023-45133

相关问题