使用npm v8.0.0上的npx create-react-app时存在的漏洞,

ttp71kqs  于 5个月前  发布在  React
关注(0)|答案(2)|浏览(69)

这是一个关于npm审计报告的描述,报告中提到了58个漏洞(16个中等风险,40个高风险,2个严重风险),并在npm audit fix -f ...后修复了一些问题。以下是报告中的一些关键信息:

  1. ansi-html存在高风险漏洞,可以通过npm audit fix --force修复,修复后将安装react-scripts@4.0.3,这是一个破坏性更改。
  2. braces也存在高风险漏洞,可以通过npm audit fix --force修复。
  3. micromatch、anymatch、chokidar、watchpack、http-proxy-middleware、react-dev-utils、jest-haste-map、jest-cli、jest-resolve、jest-config、jest-resolve-dependencies、jest-runtime等依赖于这些漏洞的包。
  4. color-string和color存在中等风险漏洞,可以通过npm audit fixnpm audit fix --force修复。
  5. debug存在严重风险漏洞,可以通过npm audit fix --force修复,修复后将安装react-scripts@4.0.3,这是一个破坏性更改。
    依赖于易受攻击的react-dev-utils、url-loader、webpack和webpack-dev-server版本。

修复方法:通过npm audit fix --force安装react-scripts@4.0.3,这是一个破坏性更改。

将以下内容添加到package.json文件中的dependencies或devDependencies部分:

"eslint-plugin-import": "^2.25.3",
"http-proxy-middleware": "^1.7.2",
"jest": "^26.0.0",
"react-dev-utils": "^4.0.3",
"url-loader": "^1.1.2",
"webpack": "^5.64.4",
"webpack-dev-server": "^4.5.0"

这是一个关于React项目中依赖包存在安全漏洞的警告。以下是各个依赖包的安全问题和修复建议:

  1. react-dev-utils:存在OS Command Injection漏洞,可以通过安装修复版本解决。将react-scripts升级到4.0.3版本,这将是一个破坏性更改。

  2. url-loader:存在Regular Expression Denial of Service漏洞,可以通过安装修复版本解决。

  3. webpack:存在Regular Expression Denial of Service漏洞,可以通过安装修复版本解决。

  4. webpack-dev-server:存在Regular Expression Denial of Service漏洞,可以通过安装修复版本解决。

  5. mime:存在Prototype Pollution漏洞,可以通过安装修复版本解决。

  6. minimist:存在Prototype Pollution漏洞,可以通过安装修复版本解决。

  7. optimist:存在Prototype Pollution漏洞,可以通过安装修复版本解决。

  8. node-notifier:存在OS Command Injection漏洞,可以通过安装修复版本解决。

  9. jest-cli:存在Jest Configuration、Jest Haste Map、Jest Resolve、Jest Runtime等漏洞,可以通过安装修复版本解决。

  10. jest:存在Jest Configuration、Jest Haste Map、Jest Resolve、Jest Runtime等漏洞,可以通过安装修复版本解决。

  11. open:存在Command Injection漏洞,可以通过安装修复版本解决。

  12. ansi-html:存在Improper Neutralization of Special Elements used in an OS Command漏洞,可以通过安装修复版本解决。
    react-scripts 0.1.0 - 4.0.0-next.117
    依赖于易受攻击的eslint-plugin-import版本
    依赖于易受攻击的http-proxy-middleware版本
    依赖于易受攻击的jest版本
    依赖于易受攻击的react-dev-utils版本
    依赖于易受攻击的url-loader版本
    依赖于易受攻击的webpack版本
    依赖于易受攻击的webpack-dev-server版本
    node_modules/react-scripts
    webpack-dev-server <=3.1.10
    严重性:关键
    webpack-dev-server中缺少Origin验证 - GHSA-cf66-xwfp-gvc4
    依赖于易受攻击的http-proxy-middleware版本
    依赖于易受攻击的open版本
    依赖于易受攻击的optimist版本
    通过npm audit fix --force修复可用
    将安装react-scripts@4.0.3,这是一个破坏性更改
    node_modules/webpack-dev-server
    react-scripts 0.1.0 - 4.0.0-next.117
    依赖于易受攻击的eslint-plugin-import版本
    依赖于易受攻击的http-proxy-middleware版本
    依赖于易受攻击的jest版本
    依赖于易受攻击的react-dev-utils版本
    依赖于易受攻击的url-loader版本
    依赖于易受攻击的webpack版本
    依赖于易受攻击的webpack-dev-server版本
    node_modules/react-scripts
    yargs-parser <=5.0.0
    严重性:中等
    yargs-parser中的原型污染 - GHSA-p9pc-299p-vxgp
    通过npm audit fix --force修复可用
    将安装react-scripts@4.0.3,这是一个破坏性更改
    node_modules/yargs-parser
    yargs 4.0.0-alpha1 - 7.0.0-alpha.3 || 7.1.1
    依赖于易受攻击的yargs-parser版本
    node_modules/yargs
    jest-cli 0.5.5 - 24.1.0
    依赖于易受攻击的jest-config版本
    依赖于易受攻击的jest-haste-map版本
    依赖于易受攻击的jest-resolve版本
    依赖于易受攻击的jest-runtime版本
    依赖于易受攻击的node-notifier版本
    依赖于易受攻击的sane版本
    依赖于易受攻击的yargs版本
    node_modules/jest-cli
    jest 13.3.0-alpha.4eb0c908 - 23.6.0
    依赖于易受攻击的jest-cli版本
    node_modules/jest
    react-scripts 0.1.0 - 4.0.0-next.117
    依赖于易受攻击的eslint-plugin-import版本
    依赖于易受攻击的http-proxy-middleware版本
    依赖于易受攻击的jest版本
    依赖于易受攻击的react-dev-utils版本
    依赖于易受攻击的url-loader版本
    依赖于易受攻击的webpack版本
    依赖于易受攻击的webpack-dev-server版本
    node_modules/react

q8l4jmvw

q8l4jmvw1#

这里有一个粘性:#11174

u4dcyp6a

u4dcyp6a2#

这个问题已经被自动标记为过时,因为它没有任何最近的活动。如果没有发生任何进一步的活动,它将在5天后被关闭。

相关问题