Уязвимость зависимостей node-sass от fstream и tar

Это моя зависимость node-gyp в package-lock.json.

"node-gyp": {
      "version": "3.8.0",
      "resolved": "http://nexus.prod-admin11.vip.aws1/nexus/content/groups/npm-edmunds/node-gyp/-/node-gyp-3.8.0.tgz",
      "integrity": "sha512-3g8lYefrRRzvGeSowdJKAKyks8oUpLEd/DyPV4eMhVlhJ0aNaZqIrNUIPuEWWTAoPqyFkfGrM67MC69baqn6vA==",
      "dev": true,
      "requires": {
        "fstream": "^1.0.0",
        "glob": "^7.0.3",
        "graceful-fs": "^4.1.2",
        "mkdirp": "^0.5.0",
        "nopt": "2 || 3",
        "npmlog": "0 || 1 || 2 || 3 || 4",
        "osenv": "0",
        "request": "^2.87.0",
        "rimraf": "2",
        "semver": "~5.3.0",
        "tar": "^2.0.0",
        "which": "1"
      },
      "dependencies": {
        "semver": {
          "version": "5.3.0",
          "resolved": "http://nexus.prod-admin11.vip.aws1/nexus/content/groups/npm-edmunds/semver/-/semver-5.3.0.tgz",
          "integrity": "sha1-myzl094C0XxgEq0yaqa00M9U+U8=",
          "dev": true
        }
      }
    },

Я получаю высокую уязвимость, когда запускаю аудит пряжи в этих пакетах:

узел-sass > узел-gyp > tar

узел-sass > узел-gyp > tar > fstream

узел-sass > узел-gyp > fstream


javascript node-sass
person Sergey    schedule 12.06.2019    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Обе эти уязвимости исправлены в минорных версиях. Возможно, вам придется удалить файл блокировки и переустановить, если вы хотите получить последние версии зависимостей.

person nschonni    schedule 14.06.2019