npm審計任意文件覆蓋

Question

我最近使用ng update更新了我的角度版本，並且在運行npm audit時發現了1個高嚴重性漏洞，但未提供有關如何解決它的建議。 它通常建議從package.json升級包，如：“angular-devkit / build-angular”，但我已經在使用他們的最新版本。

                   === npm audit security report ===                        


                             Manual Review                                  
         Some vulnerabilities require your attention to resolve             

      Visit https://go.npm.me/audit-guide for additional guidance           


High            Arbitrary File Overwrite                                      

Package         tar                                                           

Patched in      >=4.4.2                                                       

Dependency of   @angular-devkit/build-angular [dev]                           

Path            @angular-devkit/build-angular > node-sass > node-gyp > tar    

More info       https://npmjs.com/advisories/803                              

found 1 high severity vulnerability in 29707 scanned packages
1 vulnerability requires manual review. See the full report for details.

我想安裝npm i tar但是我不確定。

Answer 1

angular-cli依賴於node-gyp ，他有一個未解決的問題： https ： //github.com/nodejs/node-gyp/issues/1714

要解決此問題，您可以修補node-gyp，然后修補angular以使用修補的節點-gyp。 或者等一下，希望他們能盡快解決。

Answer 2

以下對我有用：

轉到node_modules> node_gyp> package.json，然后在依賴項下找到tar並用4.4.8替換2.0.0。

然后運行：

1. 我是誰
2. npm審計
3. npm審核修復
4. npm審計

你應該看到0個漏洞。

我已經更新了一些角度項目，每個項目都有同樣的問題。 上述操作始終有效。

Answer 3

你應該在你的package-lock.json中搜索：

"tar": {
  "version": "2.2.1",
  "resolved": "https://registry.npmjs.org/tar/-/tar-2.2.1.tgz",

並重新插入：

"tar": {
  "version": "4.4.8",
  "resolved": "https://registry.npmjs.org/tar/-/tar-4.4.8.tgz",

這對我有用