npm 审计修复后如何解决原型污染 lodash 需要人工审核
Posted
技术标签:
【中文标题】npm 审计修复后如何解决原型污染 lodash 需要人工审核【英文标题】:how to solve Prototype Pollution lodash after npm audit fix requires manual review 【发布时间】:2019-09-10 23:46:57 【问题描述】:当我执行 npm audit 时,它给了我这个链接,说我必须在我的 NODEJS 应用程序https://www.npmjs.com/advisories/782 中更新 lodash 但我尝试了 npm install lodash@latest --save 但它仍然没有给我相同的漏洞,我认为这就是它不加载本地主机的原因
【问题讨论】:
【参考方案1】:听起来很傻,但很多时候修复可能是最简单、最明显的:
$ rm -rf node_modules/
$ npm install
$ npm audit
正如此处 (https://thehackernews.com/2019/07/lodash-prototype-pollution.html) 所报告的,在旧的拉取请求中制作了一些补丁,这些补丁最终得到了更新。我不确定,但也许你在这些补丁合并之前运行了npm audit fix。
我刚刚用一个简单的npm audit fix 修复了我的问题。
【讨论】:
以上是关于npm 审计修复后如何解决原型污染 lodash 需要人工审核的主要内容,如果未能解决你的问题,请参考以下文章
如何修复这些漏洞? (npm audit fix 无法修复这些漏洞)