背景:

有另一个项目,扫描后也出现了yargs-parser@11.1.1漏洞。

是不是可以按照之前文章的方法来解决?package.json依赖包漏洞之yargs-Parser输入验证错误漏洞

第一步:

是查看是否存在漏洞的版本和依赖树结构。

执行命令:npm ls yargs-parser@11.1.1

从截图可以看出,分别是下面两个依赖包引入的yargs-parser@11.1.1。

@babel/regjsgen@0.8.0

egg-bin@4.20.0

依赖树结构是这样的:

@babel/regjsgen@0.8.0
  --nyc@13.3.0
    --yargs@12.0.5
        --yargs-parser@11.1.1
  --yargs-parser@11.1.1
  
egg-bin@4.20.0
  --nyc@13.3.0
    --yargs-parser@11.1.1



详情:技术揭秘:yargs-parser漏洞背后的修复之道




simonbaker
256 声望2 粉丝

wx:毛毛虫的小小蜡笔