我在 uglifyjs-webpack-plugin 包上发现了一个安全漏洞
Moderate Cross-Site Scripting
Package serialize-javascript
Patched in >=2.1.1
Dependency of uglifyjs-webpack-plugin [dev]
Path uglifyjs-webpack-plugin > serialize-javascript
More info https://npmjs.com/advisories/1426
我来的所有修复都建议升级
serialize-javascript
到最新,但由于我没有直接使用它,我不确定在这里做什么。有任何想法吗?我正在使用这个版本
"uglifyjs-webpack-plugin": "^2.2.0"
最佳答案
看看package.json .该插件的依赖项是 "serialize-javascript": "^1.7.0"
和 caret range意味着 <2.0.0
将被下载,实际上最后一个可接受的可用版本是 1.9.1
,其中未提供修复程序。
因为存储库现在已存档(被视为已弃用),您可以自己修补它,或者如果可以切换到 terser-webpack-plugin文档如何建议。
关于npm - uglifyjs-webpack-plugin 安全漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59727567/