node.js - npm audit 任意文件覆盖

问题描述

我最近更新了我的 Angular 版本，ng update 在运行npm audit它时发现了 1 个高严重性漏洞，但没有提供有关如何解决它的建议。它通常建议从 package.json 升级包，例如：“angular-devkit/build-angular”，但我已经在使用他们的最新版本。

                   === npm audit security report ===                        


                             Manual Review                                  
         Some vulnerabilities require your attention to resolve             

      Visit https://go.npm.me/audit-guide for additional guidance           


High            Arbitrary File Overwrite                                      

Package         tar                                                           

Patched in      >=4.4.2                                                       

Dependency of   @angular-devkit/build-angular [dev]                           

Path            @angular-devkit/build-angular > node-sass > node-gyp > tar    

More info       https://npmjs.com/advisories/803                              

found 1 high severity vulnerability in 29707 scanned packages
1 vulnerability requires manual review. See the full report for details.

我想安装npm i tar，但我不确定。

标签： node.jsnpmsasstarnode-gyp

以下对我有用：

转到 node_modules > node_gyp > package.json，然后找到依赖项下的 tar 并将 2.0.0 替换为 4.4.8。

然后运行：

npm 我
npm 审计
npm 审计修复
npm 审计

您应该看到 0 个漏洞。

我已经更新了一些角度项目，每个项目都有同样的问题。做上述工作一直有效。

node.js - npm audit 任意文件覆盖

问题描述

解决方案

推荐阅读