同学，您这个项目引入了150个开源组件，存在21个漏洞，辛苦升级一下

Question

同学，您这个项目引入了150个开源组件，存在21个漏洞，辛苦升级一下

opened this issue 2 years ago · comments

检测到 yangjufo/Stock-Trading-System 一共引入了150个开源组件，存在21个漏洞

漏洞标题：requests 代码注入漏洞
缺陷组件：xmlhttprequest-ssl@1.5.5
漏洞编号：CVE-2020-28502
漏洞描述：Dan DeFelippi node-XMLHttpRequest是  （Dan DeFelippi）开源的一个应用软件。用于模拟浏览器XMLHttpRequest对象。
node-XMLHttpRequest before 1.7.0 存在代码注入漏洞，攻击者可利用该漏洞导致任意代码注入并运行。
影响范围：(∞, 1.6.2)
最小修复版本：1.6.2
缺陷组件引入路径：newSys@0.0.0->socket.io@2.2.0->socket.io-client@2.2.0->engine.io-client@3.3.1->xmlhttprequest-ssl@1.5.5

另外还有21个漏洞，详细报告：https://mofeisec.com/jr?p=a2533f

Jimmy Young · Answer 1 · Thu Mar 10 2022 10:41:34 GMT+0800 (China Standard Time)

@Kwaiseec 感谢检查。我昨天把包都更新了一下，能否麻烦你再看一下是否还有漏洞？
另外，上面那个报告的链接好像失效了。如果方便的话，你可以直接提交Pull Request。谢谢！