create-react-app react-scripts 5.0.1库具有易受攻击的传递库

yshpjwxd  于 5个月前  发布在  React
关注(0)|答案(9)|浏览(46)

我们正在使用 react-scripts 5.0.1 库,在这个库中存在易受攻击的传递库。

  1. terser/5.13.1

  2. css-whatv3.4.2

  3. nth-check/1.0.2

  4. terser/5.13.1 在 4.8.1 之前,从 5.0.0 开始,并且在 5.14.2 之前的版本易受 Regular Expression Denial of Service (ReDoS) 的攻击,原因是正则表达式的不安全使用,CVE:CVE-2022-25858(BDSA-2022-2526)。

  5. css-whatv3.4.2 错误地实现了线性时间复杂度。攻击者可以利用这一点来耗尽系统资源并导致拒绝服务(DoS),CVE:BDSA-2021-1962。

  6. nth-check/1.0.2 易受 Inefficient Regular Expression Complexity 的攻击,CVE:CVE-2021-3803(BDSA-2021-2906)。

我们希望将 react-scripts 5.0.1 升级到最新版本,具体操作如下:

  1. 将 terser/5.13.1 升级到最新版本 terser/5.15.1
  2. 将 css-whatv3.4.2 升级到最新版本 css-what v6.1.0
  3. 将 nth-check/1.0.2 升级到最新版本 nth-check/2.1.1

由于使用了易受攻击的 react-scripts 5.0.1,我们的产品存在漏洞。请务必将 react-scripts 5.0.1 升级到带有传递依赖项安全补丁的最新版本。

4bbkushb

4bbkushb1#

在您更新依赖项的同时,以下是一些其他易受攻击且应更新的依赖项。
CVE-2022-3517
react-scripts-5.0.1.tgz (根库)
react-dev-utils-12.0.1.tgz
recursive-readdir-2.2.2.tgz
❌ minimatch-3.0.4.tgz (易受攻击的库)
CVE-2022-37599
react-scripts-5.0.1.tgz (根库)
file-loader-6.2.0.tgz
❌ loader-utils-2.0.2.tgz (易受攻击的库)

omqzjyyz

omqzjyyz2#

PR推送更新依赖的易受攻击库的时间表是什么时候?

wixjitnu

wixjitnu3#

所有易受攻击的问题都源于过时的依赖包,有关易受攻击的修复是否有更新?

hi3rlvi2

hi3rlvi24#

我假设CRA现在已经死了,因为没有人对CVE相关主题做出回应超过一个星期。

cidc1ykv

cidc1ykv5#

关于这个的最新进展?需要帮助修复漏洞!

4c8rllxm

4c8rllxm6#

FWIW,我为file-loader找到的解决方法是使用react-app-rewired,并在我们的config-overrides.js中添加以下内容:

try {
	const oneOfRule = config.module.rules.find((rule) =>
		Array.isArray(rule.oneOf),
	);
	const svgRule = oneOfRule.oneOf.find(
		(r) => r.test.toString() === '/\\.svg$/',
	);
	svgRule.type = 'asset';
	delete svgRule.use;
} catch (err) {
	console.error(
		'Error while applying config-overrides. CRA has updated the default webpack config.',
		err,
	);
	throw err;
}
iovurdzv

iovurdzv7#

请查看这个固定发布的here,我认为这些并不代表实际的漏洞。

ljsrvy3e

ljsrvy3e8#

是的,#11174正好解决了这个问题并提供了解决步骤。

nimxete2

nimxete29#

我也因为react-scripts包而遇到了漏洞。以下是列表:
webpack-5.5.0
nth-check-1.0.2
loader-utils-3.2.1
semver-7.5.0
css-what-3.4.2
postcss-8.4.26
mime-1.3.2
请考虑升级这些在react-scripts包的依赖中的易受攻击的包。

相关问题