当我尝试将gulp-sass和node-sass安装到本地git项目时,出现以下中等漏洞。我已经安装了gulp 4.0版。
我已经安装了hoek的最新版本5.0.3,并在安装软件包后尝试安装gulp-sass和node-sass,但仍显示漏洞。如何手动解决此问题?有没有办法修复文件?
漏洞:
中度原型污染
包裹钩
已在> 4.2.0 <5.0.0 ||中修补> = 5.0.3
无聊的依赖
路径gulp-sass> node-sass> node-gyp>请求> hawk> boom>
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包裹钩
已在> 4.2.0 <5.0.0 ||中修补> = 5.0.3
无聊的依赖
路径gulp-sass> node-sass> node-gyp>请求> hawk> cryptiles> boom> hoek
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包裹钩
已在> 4.2.0 <5.0.0 ||中修补> = 5.0.3
无聊的依赖
路径gulp-sass> node-sass> node-gyp> request> hawk> hoek
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包裹钩
已在> 4.2.0 <5.0.0 ||中修补> = 5.0.3
无聊的依赖
路径gulp-sass> node-sass> node-gyp>请求> hawk> sntp>
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包裹钩
已在> 4.2.0 <5.0.0 ||中修补> = 5.0.3
node-sass的依赖性
路径node-sass> node-gyp>请求> hawk> boom> hoek
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包裹钩
已在> 4.2.0 <5.0.0 ||中修补> = 5.0.3
node-sass的依赖性
路径node-sass> node-gyp>请求> hawk> cryptiles> boom>
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包裹钩
已在> 4.2.0 <5.0.0 ||中修补> = 5.0.3
node-sass的依赖性
路径node-sass> node-gyp>请求> hawk> hoek
更多信息https://nodesecurity.io/advisories/566
中度原型污染
包裹钩
已在> 4.2.0 <5.0.0 ||中修补> = 5.0.3
node-sass的依赖性
路径node-sass> node-gyp>请求> hawk> sntp> hoek
更多信息https://nodesecurity.io/advisories/566
谢谢!
答案 0 :(得分:1)
基本上,您的项目包含依赖关系,而依赖关系又取决于hoek软件包的易受攻击的版本。在github中搜索了多个问题后,例如
最后,发现该问题将仅在node-sass https://github.com/sass/node-sass/issues/2111的v5版本中得到解决。因此,您需要等待最新版本的node-sass修复后,还应该更新gulp-sass以使用v5的node-sass完全解决问题。
有许多这样的项目正遭受原型污染,因为它们无法升级受影响的软件包的脆弱版本,例如hoek。
我为正面临此问题的人们创建了 no-pollution 库。您可以安装它并将require('no-pollution')包含在项目的入口点,以防止发生任何原型污染攻击,即使您已安装易受攻击的软件包也是如此。