create-react-app 发布 react-dev-utils 11.0.5

w6lpcovy  于 5个月前  发布在  React
关注(0)|答案(7)|浏览(65)

描述漏洞

immer 8.0.1中存在一个安全漏洞,而react-dev-utils现在使用的是9.0.6版本,但自那以后,react-dev-utils的版本从未更新过,因此消费者仍然在使用受影响的immer版本。
我们能发布一个新版本吗?

vshtjzan

vshtjzan1#

嘿,我们能看一下这个吗?

ozxc1zmp

ozxc1zmp2#

┌───────────────┬──────────────────────────────────────────────────────────────┐
│ critical      │ Prototype Pollution in immer                                 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ immer                                                        │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=9.0.6                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://www.npmjs.com/advisories/1005029                     │
└───────────────┴──────────────────────────────────────────────────────────────┘
wfypjpf4

wfypjpf43#

嘿,创作者们,给你们打标签是因为这是react-dev-utilsv11.0.5GHSA-33f9-j839-rf8h中的关键漏洞。

3wabscal

3wabscal5#

我希望得到安全Maven的输入,或者至少知道足够多的信息来确认这是一个误报。尽管如此,这很可能只是#11174的另一个误报示例。

在编写时有效的解决方法是查看是否可以按照#11174的建议,将目标切换到devDependencies + npm audit --production,尝试使用react-scripts@5.0.0-next.47,或者使用yarn resolutionsnpm-force-resolutions修复您的用例,例如基于yarn auditnpm audit(无法切换到npm audit --production)使漏洞扫描器满意。

nom7f22z

nom7f22z6#

@pzrq这不是一个误报,因为你不知道这个包的消费者如何使用它。例如在生产环境中使用immer

svmlkihl

svmlkihl7#

这个问题已经被自动标记为过时,因为它没有任何最近的活动。如果没有发生任何进一步的活动,它将在5天后被关闭。

相关问题