在react-scripts中有一个依赖库nth-check,它容易受到CVE-2021-3803漏洞的影响。mend扫描报告了我们项目中的这个漏洞。
-- react-scripts@5.0.1
+-- @svgr/webpack@5.5.0
| -- @svgr/plugin-svgo@5.5.0 | -- svgo@1.3.2
| -- css-select@2.1.0 | -- nth-check@1.0.2
nth-check v2.0.1(包括)及更高版本已修复此漏洞,安全可靠。
为了解决这个问题,我们已经升级到了react-scripts的最新版本(如上所示),但这个依赖项仍然没有升级。请尽快采取行动,将此传递依赖项升级到父库react-scripts中。
8条答案
按热度按时间eiee3dmh1#
易受攻击的react-scripts 5.0.1使我们的产品易受攻击。请尽早使用传递依赖安全补丁升级react-scripts 5.0.1。它应该通过将nth-check/1.0.2升级到最新可用版本nth-check/2.1.1来更新传递依赖项,以便为nth-check提供最新的安全补丁。
wfauudbj2#
我们在项目中遇到了相同的问题。请尽快升级这个子依赖项。
8wtpewkr3#
我们有几个应用也被阻止了。
w41d8nur4#
这也给我和我的团队带来了巨大的问题。
kognpnkq5#
我们对此有什么更新吗?
7y4bm7vi6#
在构建工具中,"低效的正则表达式复杂度"漏洞并不会引起任何关注。可以放心地忽略这个安全问题。同时,也请查看 this pinned post 。
fruv7luv7#
这似乎是一个重复的问题,可以通过#11174、#12026或#12026来解决。
从
@svgr/webpackv5迁移到v6似乎需要遵循migration guide,因此这项工作可能并不简单。dgtucam18#
#11174 是正确答案,只需将
react-scripts从dependencies移出并进入devDependencies,然后运行npm audit --omit=dev。