nsp显示了一个不存在的漏洞

时间:2016-09-03 14:59:44

标签: node.js security express npm

当我针对快速应用程序的根运行nsp check时,我正在使用此输出:

(+) 4 vulnerabilities found
┌───────────────┬─────────────────────────────────────────────────────┐
│               │ Sanitization bypass using HTML Entities             │
├───────────────┼─────────────────────────────────────────────────────┤
│ Name          │ marked                                              │
├───────────────┼─────────────────────────────────────────────────────┤
│ Installed     │ 0.2.10                                              │
├───────────────┼─────────────────────────────────────────────────────┤
│ Vulnerable    │ <=0.3.5                                             │
├───────────────┼─────────────────────────────────────────────────────┤
│ Patched       │ >=0.3.6                                             │
├───────────────┼─────────────────────────────────────────────────────┤
│ Path          │ myapp@1.0.0 > marked-engine@0.1.0 > marked@0.2.1    │
├───────────────┼─────────────────────────────────────────────────────┤
│ More Info     │ https://nodesecurity.io/advisories/101              │

... 3 more omitted, all concerning marked@0.2.10

即使我使用的marked版本是0.3.6

$ npm list
myapp@1.0.0
├── ...
└─┬ marked-engine@0.1.0
  └── marked@0.3.6

那么,问题是什么?为什么nsp报告此漏洞?

0 个答案:

没有答案
相关问题
最新问题