【发布时间】:2019-01-12 22:29:44
【问题描述】:
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ react-native-cached-image │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ react-native-cached-image > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/577 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 11 vulnerabilities (2 low, 8 moderate, 1 high) in 26316 scanned packages
11 vulnerabilities require manual review. See the full report for details.
当我尝试npm install 时会出现这种情况,并且所有这些都需要人工审核。我试图访问this 以查看更多信息,显然这是因为我的lodash 是4.17.4 版本。所以我运行了npm install --save lodash@4.17.5 并检查了我的package.json 以确保它正确反映。
但是,漏洞似乎仍然存在。想知道我是否以错误的方式修复它?
根据要求,package.json 的正文
"dependencies": {
"lodash": "^4.17.5",
}
【问题讨论】:
-
在您的
package.json中您对lodash有什么依赖关系?请在问题正文中发布实际字符串。 -
@Akrion:是的,确实有
-
等等......它谈到了
react-native-cached-imagelib 有这个问题,因为它可能依赖于旧版本的 lodash 不是吗?你能在那个库中看到它在package.json中说什么吗? -
是的,在那个库中你有
4.17.4刚刚签入他们的 github @github.com/kfiroo/react-native-cached-image/blob/master/…
标签: reactjs react-native npm lodash