时间戳

首页 > 解决方案 > 错误消息:Shelljs 0.8.3 及之前版本容易受到命令注入的攻击

angular - 错误消息:Shelljs 0.8.3 及之前版本容易受到命令注入的攻击

问题描述

将我的项目更新到 Angular 8.0.3 后,我的 github 警报上出现此错误。

这是一个没有补救措施的漏洞。

没有可用的补丁版本。

Shelljs 0.8.3 and before are vulnerable to Command Injection.
Commands can be invoked from shell.exec(),
those commands will include input from external sources,
to be passed as arguments to system executables
and allowing an attacker to inject arbitrary commands.

有人有这方面的任何信息吗?

标签: angularangular8shelljs

解决方案

根据 这个线程,这可能是一场虚惊。五月是关键词。您不能将用户输入传递给 shell 模块。许多人这样做,然后这是一个巨大的问题。只要您从不将用户输入传递给exec,那么您就可以使用 GitHub 工具来禁用此警告。

推荐阅读