javascript - 实用漏洞
问题描述
有用的 npm 模块,版本 0.3.0(或更低版本)存在一个已知漏洞,允许从未初始化的内存中提取敏感数据或通过传入大量数据来导致 DoS,在可以传递键入用户输入的设置中(例如从JSON),请参阅https://hackerone.com/reports/321701
我有一个利用 utile npm 模块的 node.js 项目,package-lock.json 中的依赖项如下: 在此处输入图像描述
"utile": {
"version": "0.2.1",
"resolved": "https://registry.npmjs.org/utile/-/utile-0.2.1.tgz",
"integrity": "sha1-kwyI6ZCY1iIINMNWy9mncFItkNc=",
"dev": true,
"requires": {
"async": "~0.2.9",
"deep-equal": "*",
"i": "0.3.x",
"mkdirp": "0.x.x",
"ncp": "0.4.x",
"rimraf": "2.x.x"
},
"dependencies": {
"async": {
"version": "0.2.10",
"resolved": "https://registry.npmjs.org/async/-/async-0.2.10.tgz",
"integrity": "sha1-trvgsGdLnXGXCMo43owjfLUmw9E=",
"dev": true
},
"mkdirp": {
"version": "0.5.5",
"resolved": "https://registry.npmjs.org/mkdirp/-/mkdirp-0.5.5.tgz",
"integrity": "sha512-NKmAlESf6jMGym1++R0Ra7wvhV+wFW63FaSOFPwRahvea0gMUcGUhVeAg/0BC0wiv9ih5NYPB1Wn1UEI1/L+xQ==",
"dev": true,
"requires": {
"minimist": "^1.2.5"
}
}
}
}
这是 package-lock.json 文件中的部分代码,其中包括具有 2 个依赖项 async 和 mkdirp 的实用模块。
是否有人碰巧遇到漏洞并想删除该漏洞?是否有可用的 npm 模块或 asncy/mkdirp 的替代包,我们可以利用它来代替使用 utile 模块?
解决方案
推荐阅读
- clojure - clojure 将协议定义保存在与实现不同的命名空间中
- python - Matplotlib 转换和在 3D 中绘制 2D 事物
- python - 为什么我的函数不打印翻转的二进制字符串?请帮忙谢谢
- javascript - 如何将谷歌地图标记固定在地图中心?
- python - 未找到 Pyenv 列出的版本
- python - pytelegramapi 的 bot.polling() 问题(已解决)
- c - Visual Studio 中的 C 程序崩溃
- python - AttributeError: 'Word2Vec' 对象没有属性 'most_similar' (Word2Vec)
- spring - Spring JPA - 更新 - SET - 巨大的列 - 性能
- c# - 创建用户并同时将他分配给角色/角色 ASP.NET Core