我在一个即将部署的项目上运行了 nsp,我得到了这个漏洞
Name │ mime
CVSS │ 7.5 (High)
Installed │ 1.2.11
Vulnerable │ < 1.4.1 || > 2.0.0 < 2.0.3
Patched │ >= 1.4.1 < 2.0.0 || >= 2.0.3
Path │ myProject@1.0.0 > winston-s3@1.0.0 > winston@0.7.3 > request@2.16.6 > form-data@0.0.10 > mime@1.2.11
More Info │ https://nodesecurity.io/advisories/535
现在我明白我需要更新“mime”依赖项,但我的问题是该漏洞位于依赖项的依赖项的依赖项中。
我的 'winston-s3' 依赖是最新的,当我要去 'node_modules/winston-s3/node_modules/winston/' 时没有 'node_modules' 目录和主目录中的“mime”依赖node_modules 的目录是最新的,所以我猜winston-s3 没有使用这个代码。
知道如何解决这个问题吗?
非常感谢!