mime模块拒绝服务漏洞 - mime@1.3.6 - 间接引入
Leo-Shaoqiang opened this issue · 2 comments
Leo-Shaoqiang commented
该组件存在漏洞,是否需要升级组件以修复改问题。
完整报告:https://www.oscs1024.com/cd/1530221122195529728?sign=7c3f1921&report=1
漏洞详情:https://www.oscs1024.com/hd/MPS-2018-7211?s=m
7kms commented
谢谢指正。我查了一下,确实有这个问题。某些情况下,mime的解析会运行缓慢。
引用方面是由于dumi的版本依赖问题,dumi最新版还是没有更新mime的版本。
所以dumi没有升级的话,如果我单方面改的话,是不是做不了?只能在外层dependencies里面加入一个最新的mime。
Leo-Shaoqiang commented
已经给 dumi 提交 issue,打扰了~