我从GitHub收到一封电子邮件,指出我项目的一个依赖项“ hoek”具有已知的安全漏洞,我应该对其进行更新。但是,hoek本身不是我安装的东西,而是我其他依赖项之一的依赖项。我对此无能为力,还是使用hoek的项目的维护者必须更新他们使用的版本?
答案 0 :(得分:0)
软件包CVE-2018-3728易受攻击。 hoek的脆弱版本早于4.2.1和5.0.3,并且容易受到原型污染的影响。 受影响的hoek版本将保持在5.0.2版之前。该修补程序将更新为4.2.1、5.0.3版或更高版本。 有关更多信息,您可以在此处查看修复请求:https://github.com/hapijs/hoek/pull/231/commits/5aed1a8c4a3d55722d1c799f2368857bf418d6df