┌───────────────┬──────────────────────────────────────────────────────────────┐
│ critical │ Prototype Pollution in immer │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ immer │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=9.0.6 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://www.npmjs.com/advisories/1005029 │
└───────────────┴──────────────────────────────────────────────────────────────┘
7条答案
按热度按时间vshtjzan1#
嘿,我们能看一下这个吗?
ozxc1zmp2#
wfypjpf43#
嘿,创作者们,给你们打标签是因为这是
react-dev-utils
、v11.0.5
和GHSA-33f9-j839-rf8h中的关键漏洞。23c0lvtd4#
Dupes:
#11660
#11659
#11539
#11523
#11443
3wabscal5#
我希望得到安全Maven的输入,或者至少知道足够多的信息来确认这是一个误报。尽管如此,这很可能只是#11174的另一个误报示例。
在编写时有效的解决方法是查看是否可以按照#11174的建议,将目标切换到
devDependencies
+npm audit --production
,尝试使用react-scripts@5.0.0-next.47,或者使用yarn resolutions或npm-force-resolutions修复您的用例,例如基于yarn audit
或npm audit
(无法切换到npm audit --production
)使漏洞扫描器满意。nom7f22z6#
@pzrq这不是一个误报,因为你不知道这个包的消费者如何使用它。例如在生产环境中使用
immer
。svmlkihl7#
这个问题已经被自动标记为过时,因为它没有任何最近的活动。如果没有发生任何进一步的活动,它将在5天后被关闭。