react-scripts依赖包使用了nth-check@1.0.2,这个版本存在较高的漏洞。但是nth-check的升级版本没有漏洞。
所以请检查修复这个漏洞的可能性。
路径:
react-scripts@5.0.1 › @svgr/webpack@5.5.0 › @svgr/plugin-svgo@5.5.0 › svgo@1.3.2 › css-select@2.1.0 › nth-check@1.0.2
react-scripts依赖包使用了nth-check@1.0.2,这个版本存在较高的漏洞。但是nth-check的升级版本没有漏洞。
所以请检查修复这个漏洞的可能性。
路径:
react-scripts@5.0.1 › @svgr/webpack@5.5.0 › @svgr/plugin-svgo@5.5.0 › svgo@1.3.2 › css-select@2.1.0 › nth-check@1.0.2
3条答案
按热度按时间ckocjqey1#
看起来react-scripts团队并不关心那里的漏洞,有更多的漏洞是易受攻击的,例如loader-utils也应该已经更新到3.x版本了...距离上一次版本发布已经有9个月了!没有发布任何次要版本,没有信息,什么都没有...
whitzsjs2#
我怀疑这个项目已经不再维护了:https://news.ycombinator.com/item?id=34421816
6jjcrrmo3#
See #11174