同学，您这个项目引入了22个开源组件，存在3个漏洞，辛苦升级一下

Question

同学，您这个项目引入了22个开源组件，存在3个漏洞，辛苦升级一下

Closed this issue a year ago · 1 comments

检测到 emn178/js-sha256 一共引入了22个开源组件，存在3个漏洞

漏洞标题：Growl命令执行漏洞
缺陷组件：growl@1.8.1
漏洞编号：CVE-2017-16042
漏洞描述：Growl是一套支持Node.js的通知系统。
Growl 1.10.2之前版本中存在安全漏洞，该漏洞源于在将输入传递到shell命令之前，程序未能正确的对其进行过滤。攻击者可利用该漏洞执行任意命令。
国家漏洞库信息：https://www.cnvd.org.cn/flaw/show/CNVD-2018-24664
影响范围：(∞, 1.10.0)
最小修复版本：1.10.0
缺陷组件引入路径：js-sha256@0.8.0->mocha@2.3.4->growl@1.8.1

另外还有3个漏洞，详细报告：https://mofeisec.com/jr?p=i17ed6

Answer 1 · 2023-08-30T15:17:52.000Z

done in v0.10.0