snyk
meldet eine Denial-of-Service-Schwachstelle für reguläre Ausdrücke in einer Ihrer Abhängigkeiten, lodash 4.17.5
.
✗ Medium severity vulnerability found in lodash
Description: Regular Expression Denial of Service (ReDoS)
Info: https://snyk.io/vuln/SNYK-JS-LODASH-73639
Introduced through: [email protected]
From: [email protected] > [email protected]
Remediation:
Your dependencies are out of date, otherwise you would be using a newer version of lodash.
Try deleting node_modules, reinstalling and running `snyk test` again. If the problem persists, one of your dependencies may be bundling outdated modules.
und
Analyzing npm dependencies for package.json
Querying vulnerabilities database...
Tested 255 dependencies for known vulnerabilities, found 3 vulnerabilities, 23 vulnerable paths.
? 2 vulnerabilities introduced via [email protected]
- info: https://snyk.io/package/npm/async/2.6.1
Vielen Dank im Voraus!
Stoßen
Wir verwenden diese Methode nicht, also trifft sie auf uns nicht zu. Wir haben Lodash entfernt
v3.0. Ich denke, es gab einige Probleme für uns, diesen Minderjährigen zu verlassen
Version von lodash auf der 2.x-Linie von Async.
Am Freitag, 8. Februar 2019, 2:12 Uhr schrieb Daniel Scalzi < [email protected] :
Stoßen
—
Sie erhalten dies, weil Sie diesen Thread abonniert haben.
Antworten Sie direkt auf diese E-Mail und zeigen Sie sie auf GitHub an
https://github.com/caolan/async/issues/1620#issuecomment-461784127 oder stumm
der Faden
https://github.com/notifications/unsubscribe-auth/AAiEbmULsTIq6AwY5RHZJNcM60O1Lw7tks5vLWmygaJpZM4ah0sH
.
Ich denke, ein einfaches Patch-Update würde ausreichen.
oder setzen Sie v3.0.0 als latest
auf npm, da es derzeit nur next
ist und nicht von npm outdated
angezeigt wird
Das Aktualisieren von lodash war kein Problem, ich habe v2.6.2 mit dem Update veröffentlicht.
Hilfreichster Kommentar
Das Aktualisieren von lodash war kein Problem, ich habe v2.6.2 mit dem Update veröffentlicht.