【发布时间】:2022-01-15 09:34:27
【问题描述】:
react-dev-utils@11.0.4 安装易受攻击的浏览器列表版本,browserslist@4.14.2,尽管我们已经在 github 上更新了包。 https://github.com/facebook/create-react-app/blob/main/packages/react-dev-utils/package.json#L57
[为了测试,您可以简单地创建任何文件夹并执行npm i react-dev-utils,然后使用npm ls browserlist检查它]
我不明白,这有什么限制。 (我没有看到这个包的任何package-lock.json,这可能是导致漏洞的潜在原因)。旧版本已报告漏洞CVE-2021-23364。
【问题讨论】:
-
仅供参考,
react-dev-tools没有实际的安全问题,因为它不解析用户提供的浏览器查询。 -
好的,谢谢,可能是这种情况,但无论如何我希望将包更新到一个没有任何报告漏洞的包。
标签: node.js npm dependencies package.json cve