angular - 错误消息:Shelljs 0.8.3 及之前版本容易受到命令注入的攻击
问题描述
将我的项目更新到 Angular 8.0.3 后,我的 github 警报上出现此错误。
这是一个没有补救措施的漏洞。
没有可用的补丁版本。
Shelljs 0.8.3 and before are vulnerable to Command Injection.
Commands can be invoked from shell.exec(),
those commands will include input from external sources,
to be passed as arguments to system executables
and allowing an attacker to inject arbitrary commands.
有人有这方面的任何信息吗?
解决方案
根据 这个线程,这可能是一场虚惊。五月是关键词。您不能将用户输入传递给 shell 模块。许多人这样做,然后这是一个巨大的问题。只要您从不将用户输入传递给exec
,那么您就可以使用 GitHub 工具来禁用此警告。
推荐阅读
- visual-studio - VisualStudio 2019 是否可以从 CMAKE 设置构建变量。更一般地说,如何设置它们
- python - 如何防止 pandas loc 转置单个项目数据框
- java - JAVA 中的 HackerRank Anagram 程序在我的 Eclipse 上运行良好,但在 HackerRank 平台上却没有
- php - 将 Laravel 核心文件移动到 private_html 目录
- html - 我的网站最初加载时如何停止转换?
- python - 如何从 python 中的 Spark 数据框中访问特定列?
- json - 在 Swift 中将解码的 JSON 数据设置为 UITextFields - 非字符串的问题
- php - 可恢复的致命错误:无法将类 Produk 的对象转换为第 12 行 C:\xampp\htdocs\oophp\produk.php 中的字符串
- reactjs - 使用 React Native 和 Expo 创建应用内 PDF 查看器的可能方法是什么?
- unreal-engine4 - UE4 - 使用不同武器时更换 ADS 相机