5

Dependabot 首先报告并撤回了一个包中的安全问题。没有给出撤回的依据,只是说该包裹“不再易受攻击”。这是没有意义的。原始 CVE 仍然存在,并且仍然引用了受影响的代码。

在此处输入图像描述

经过调查,我发现给定的包在 yarn.lock 中有两次,一次在包含漏洞的版本中,然后在包含补丁的版本中:

    ansi-regex@^2.0.0:
      version "2.1.1"    
    ansi-regex@^5.0.0:
      version "5.0.0"````

I'd be grateful for any way to make sense of this.
4

2 回答 2

0

如果这个来源是准确的,那是因为你列出的两个 ansi-regex 版本不包含漏洞:

使用提供的复制器确认 4.1.0 和 3.0.0 为受影响的测试。2.1.1 没有重现该问题。

3.0.0 是第一个受影响的版本,因为它是第一个包含69bebf6的版本,这是正则表达式的问题部分。

于 2021-11-22T12:25:24.773 回答
0

感谢回答者的专业知识。

我认为最有可能的诊断是 Dependabot 错误。通常,责怪您的工具是一厢情愿的想法,但在这种情况下,这是迄今为止最简单的答案。

于 2021-11-23T19:32:38.080 回答