我有一个名为node-fetch的节点模块,它正在产生Denial of Service安全漏洞。解决这个问题的唯一方法是将其更新到2.6.1版本。当我运行npm ls node-fetch时,我可以看到它是swagger-ui的依赖项。
`-- swagger-ui@3.23.11
+-- react@15.6.2
| `-- fbjs@0.8.17
| `-- isomorphic-fetch@2.2.1
| `-- node-fetch@1.7.3 deduped
`-- swagger-client@3.9.4
`-- cross-fetch@0.0.8
`-- node-fetch@1.7.3
我尝试npm install swagger-ui@latest看看是否会解决这个问题,但它没有。我还尝试编辑package-lock.json的版本,但在运行npm install时它会恢复
我对修复安全漏洞非常陌生,所以我不知道该怎么做。
任何帮助!🍻欢呼
作为解决方案,我可以建议将分辨率添加到您的package.json
{
....
"dependencies": {
...
"swagger-ui": "3.23.11",
...
},
"resolutions": {
"node-fetch": "2.6.1"
}
}
截至npm 8.3.0,您应该能够将其添加到您的包中。
"overrides": {
"node-fetch": "^2.6.7"
},
这告诉安装程序覆盖任何npm-fetch安装的2.6.7版本或该版本的任何小版本(例如2.6.8可以被允许,但3.0.0不允许)。