我们正在使用 react-scripts 5.0.1 库,在这个库中存在易受攻击的传递库。
terser/5.13.1
css-whatv3.4.2
nth-check/1.0.2
terser/5.13.1 在 4.8.1 之前,从 5.0.0 开始,并且在 5.14.2 之前的版本易受 Regular Expression Denial of Service (ReDoS) 的攻击,原因是正则表达式的不安全使用,CVE:CVE-2022-25858(BDSA-2022-2526)。
css-whatv3.4.2 错误地实现了线性时间复杂度。攻击者可以利用这一点来耗尽系统资源并导致拒绝服务(DoS),CVE:BDSA-2021-1962。
nth-check/1.0.2 易受 Inefficient Regular Expression Complexity 的攻击,CVE:CVE-2021-3803(BDSA-2021-2906)。
我们希望将 react-scripts 5.0.1 升级到最新版本,具体操作如下:
- 将 terser/5.13.1 升级到最新版本 terser/5.15.1
- 将 css-whatv3.4.2 升级到最新版本 css-what v6.1.0
- 将 nth-check/1.0.2 升级到最新版本 nth-check/2.1.1
由于使用了易受攻击的 react-scripts 5.0.1,我们的产品存在漏洞。请务必将 react-scripts 5.0.1 升级到带有传递依赖项安全补丁的最新版本。
9条答案
按热度按时间4bbkushb1#
在您更新依赖项的同时,以下是一些其他易受攻击且应更新的依赖项。
CVE-2022-3517
react-scripts-5.0.1.tgz (根库)
react-dev-utils-12.0.1.tgz
recursive-readdir-2.2.2.tgz
❌ minimatch-3.0.4.tgz (易受攻击的库)
CVE-2022-37599
react-scripts-5.0.1.tgz (根库)
file-loader-6.2.0.tgz
❌ loader-utils-2.0.2.tgz (易受攻击的库)
omqzjyyz2#
PR推送更新依赖的易受攻击库的时间表是什么时候?
wixjitnu3#
所有易受攻击的问题都源于过时的依赖包,有关易受攻击的修复是否有更新?
hi3rlvi24#
我假设CRA现在已经死了,因为没有人对CVE相关主题做出回应超过一个星期。
cidc1ykv5#
关于这个的最新进展?需要帮助修复漏洞!
4c8rllxm6#
FWIW,我为file-loader找到的解决方法是使用react-app-rewired,并在我们的config-overrides.js中添加以下内容:
iovurdzv7#
请查看这个固定发布的here,我认为这些并不代表实际的漏洞。
ljsrvy3e8#
是的,#11174正好解决了这个问题并提供了解决步骤。
nimxete29#
我也因为react-scripts包而遇到了漏洞。以下是列表:
webpack-5.5.0
nth-check-1.0.2
loader-utils-3.2.1
semver-7.5.0
css-what-3.4.2
postcss-8.4.26
mime-1.3.2
请考虑升级这些在react-scripts包的依赖中的易受攻击的包。