[英]npm audit Arbitrary File Overwrite
我最近使用ng update
更新了我的角度版本,並且在運行npm audit
時發現了1個高嚴重性漏洞,但未提供有關如何解決它的建議。 它通常建議從package.json升級包,如:“angular-devkit / build-angular”,但我已經在使用他們的最新版本。
=== npm audit security report ===
Manual Review
Some vulnerabilities require your attention to resolve
Visit https://go.npm.me/audit-guide for additional guidance
High Arbitrary File Overwrite
Package tar
Patched in >=4.4.2
Dependency of @angular-devkit/build-angular [dev]
Path @angular-devkit/build-angular > node-sass > node-gyp > tar
More info https://npmjs.com/advisories/803
found 1 high severity vulnerability in 29707 scanned packages
1 vulnerability requires manual review. See the full report for details.
我想安裝npm i tar
但是我不確定。
angular-cli
依賴於node-gyp
,他有一個未解決的問題: https : //github.com/nodejs/node-gyp/issues/1714
要解決此問題,您可以修補node-gyp,然后修補angular以使用修補的節點-gyp。 或者等一下,希望他們能盡快解決。
以下對我有用:
轉到node_modules> node_gyp> package.json,然后在依賴項下找到tar並用4.4.8替換2.0.0。
然后運行:
你應該看到0個漏洞。
我已經更新了一些角度項目,每個項目都有同樣的問題。 上述操作始終有效。
你應該在你的package-lock.json中搜索:
"tar": {
"version": "2.2.1",
"resolved": "https://registry.npmjs.org/tar/-/tar-2.2.1.tgz",
並重新插入:
"tar": {
"version": "4.4.8",
"resolved": "https://registry.npmjs.org/tar/-/tar-4.4.8.tgz",
這對我有用
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.