同学，您这个项目引入了1382个开源组件，存在23个漏洞，辛苦升级一下

Question

同学，您这个项目引入了1382个开源组件，存在23个漏洞，辛苦升级一下

opened this issue 2 years ago · comments

检测到 danilowoz/create-content-loader 一共引入了1382个开源组件，存在23个漏洞

漏洞标题：requests 代码注入漏洞
缺陷组件：xmlhttprequest-ssl@1.5.5
漏洞编号：CVE-2020-28502
漏洞描述：Dan DeFelippi node-XMLHttpRequest是  （Dan DeFelippi）开源的一个应用软件。用于模拟浏览器XMLHttpRequest对象。
node-XMLHttpRequest before 1.7.0 存在代码注入漏洞，攻击者可利用该漏洞导致任意代码注入并运行。
影响范围：(∞, 1.6.2)
最小修复版本：1.6.2
缺陷组件引入路径：create-content-loader@0.1.0->gatsby@2.32.12->socket.io-client@3.1.1->engine.io-client@4.1.3->xmlhttprequest-ssl@1.5.5

另外还有23个漏洞，详细报告：https://mofeisec.com/jr?p=icff4e

Danilo Woznica · Answer 1 · Fri Mar 11 2022 19:05:19 GMT+0800 (China Standard Time)

Thanks for letting me know about these issues.
But this kind of issue is spammy as GitHub already provides a way to see vulnerabilities.