描述漏洞
CVE-2021-27290
ssri 5.2.2-8.0.0,在8.0.1中修复,使用正则表达式处理SRIs,易受拒绝服务攻击。恶意SRI可能需要非常长的时间来处理,导致拒绝服务。此问题仅影响使用严格选项的消费者。
查看 https://github.com/facebook/create-react-app/blob/master/packages/react-scripts/package.json 时,它拉取了 webpack @ 4.44.2,最终得到以下树形结构:
┬ react-scripts@4.0.3
├─┬ terser-webpack-plugin@4.2.3
│ └─┬ cacache@15.0.5
│ └── ssri@8.0.1
└─┬ webpack@4.44.2
└─┬ terser-webpack-plugin@1.4.5
└─┬ cacache@12.0.4
└── ssri@6.0.1转到最新的 webpack(目前为 5.26.2)将解决此问题。
8条答案
按热度按时间7gyucuyw1#
问题已报告给
Webpack,位于webpack/webpack#12926。x6yk4ghg2#
将react-scripts迁移到webpack 5有多困难?
6yjfywim3#
react-script to webpack 5 sounds like the move
xhv8bpkk4#
Webpack 5是#9994。看起来像“非常困难”,但正在进行中。
g2ieeal75#
将react-script迁移到webpack 5听起来像是个大动作。Webpack 5是#9994,看起来“非常困难”,但正在进行中。
迁移到webpack 5将是一个类似于CRA 5的重大版本更新,这将导致破坏性更改。我认为CRA肯定需要迁移,但可能需要更多时间。
所以我认为,如果有人有时间创建一个PR,我们仍然应该在CRA 4中升级这些依赖项。
wqsoz72f6#
根据 SNYK-JS-SSRI-1246392 ,这个问题可以通过
ssri的6.0.2和8.0.1版本的修复程序进行解决。运行npm upgrade或者重建package-lock.json以自动获取最新的修复程序版本。虽然我也很想看到一个与webpack 5兼容的react-scripts,但是在没有react-scripts发布的情况下也可以修复这个特定的漏洞。olqngx597#
关于这个,
grype仍在检测这个,即使在解析ssri到^8.0.1时也是如此吗?vkc1a9a28#
这个问题已经被自动标记为过时,因为它没有任何最近的活动。如果没有发生任何进一步的活动,它将在5天后被关闭。