当我针对快速应用程序的根运行nsp check
时,我正在使用此输出:
(+) 4 vulnerabilities found
┌───────────────┬─────────────────────────────────────────────────────┐
│ │ Sanitization bypass using HTML Entities │
├───────────────┼─────────────────────────────────────────────────────┤
│ Name │ marked │
├───────────────┼─────────────────────────────────────────────────────┤
│ Installed │ 0.2.10 │
├───────────────┼─────────────────────────────────────────────────────┤
│ Vulnerable │ <=0.3.5 │
├───────────────┼─────────────────────────────────────────────────────┤
│ Patched │ >=0.3.6 │
├───────────────┼─────────────────────────────────────────────────────┤
│ Path │ myapp@1.0.0 > marked-engine@0.1.0 > marked@0.2.1 │
├───────────────┼─────────────────────────────────────────────────────┤
│ More Info │ https://nodesecurity.io/advisories/101 │
... 3 more omitted, all concerning marked@0.2.10
即使我使用的marked
版本是0.3.6
:
$ npm list
myapp@1.0.0
├── ...
└─┬ marked-engine@0.1.0
└── marked@0.3.6
那么,问题是什么?为什么nsp
报告此漏洞?