如何修复 NPM 高危漏洞? (污染)

Posted

技术标签:

【中文标题】如何修复 NPM 高危漏洞? (污染)【英文标题】:How to fix NPM high severity vulnerabilities? (Pollution) 【发布时间】:2021-06-30 04:13:41 【问题描述】:

我想安装一些 npm 包,但总是遇到同样的错误

“3 个高危漏洞”

当我按下 npm 审计修复时

我总是这样:

我尝试更新 lodash 和 jsdoctypeparser,因为链接说污染问题来自旧版本的 lodash 和 jsdoctypeparser 但它不起作用(至少运行更新的命令,它给出了相同的错误)

也尝试了 npm audit fix --force 但还是一样

【问题讨论】:

【参考方案1】:

如果你不能更新 jsdoctypeparser 那么你就卡住了。真正的问题是,你能在不破坏你的包的情况下更新 jsdoctypeparser 吗?您无需将其更新到当前版本 (9),只需将其升级到 2.0.0-alpha-5 以上(尽管更新越多越好)。

【讨论】:

以上是关于如何修复 NPM 高危漏洞? (污染)的主要内容,如果未能解决你的问题,请参考以下文章

高危漏洞修复不了怎么办

如何临时规避安全扫描的高危漏洞

宝塔漏洞 XSS窃取宝塔面板管理员漏洞 高危

npm 审计修复后如何解决原型污染 lodash 需要人工审核

如何使用Nikto漏洞扫描工具检测网站安全

如何修复 https-proxy-agent Machine-In-The-Middle 漏洞?