以下是针对以下漏洞的修复:
Critical Prototype Pollution in immer
Package immer
Patched in >=9.0.6
Dependency of react-scripts
Path react-scripts > react-dev-utils > immer
More info https://github.com/advisories/GHSA-33f9-j839-rf8h
使固定:
9.0.6
在这种情况下,使用以下命令安装 immer 的修补版本:npm install --save immer@9.0.6
使用 . 更新 package.json 文件
npm update
。重要提示:如果此时漏洞仍然存在,只有当您知道这不会破坏您的代码或弄乱项目的先前版本或其他包的依赖项时,您才能执行以下操作。我是唯一一个在我的项目上工作的人,所以这个修复适用于我的场景。
在你的
package-lock.json
文件中,找到过时的包,在我的例子中:"immer": { "version": "8.0.1", "resolved": "https://registry.npmjs.org/immer/-/immer-8.0.1.tgz", "integrity": "sha512-aqXhGP7//Gui2+UrHtvxZxSquQVXTpZ7KDxfCcKAF3Vysvw0CViVaH9RZ1j1xlIYqaaaipBoqcqeibkc17PNvF==" },
并直接删除它。
对于所有包/依赖项,此修复似乎不是很可持续,但谁知道呢?如果有更好的方法,请让社区知道。