8

以下是针对以下漏洞的修复:

Critical        Prototype Pollution in immer                                  

Package         immer                                                         

Patched in      >=9.0.6                                                       

Dependency of   react-scripts                                                 

Path            react-scripts > react-dev-utils > immer                       

More info       https://github.com/advisories/GHSA-33f9-j839-rf8h

使固定:

  1. 9.0.6在这种情况下,使用以下命令安装 immer 的修补版本:

     npm install --save immer@9.0.6

  2. 使用 . 更新 package.json 文件npm update

    重要提示:如果此时漏洞仍然存在,只有当您知道这不会破坏您的代码或弄乱项目的先前版本或其他包的依赖项时,您才能执行以下操作。我是唯一一个在我的项目上工作的人,所以这个修复适用于我的场景。

  3. 在你的package-lock.json文件中,找到过时的包,在我的例子中:

             "immer": {
             "version": "8.0.1",
             "resolved": "https://registry.npmjs.org/immer/-/immer-8.0.1.tgz",
             "integrity": "sha512-aqXhGP7//Gui2+UrHtvxZxSquQVXTpZ7KDxfCcKAF3Vysvw0CViVaH9RZ1j1xlIYqaaaipBoqcqeibkc17PNvF=="
         },

    并直接删除它。

对于所有包/依赖项,此修复似乎不是很可持续,但谁知道呢?如果有更好的方法,请让社区知道。

4

0 回答 0