如何利用 Vue CLI 依赖约束处理 webpack-dev-middleware 中的路径遍历漏洞?

问题描述 投票:0回答:1

我正在处理 webpack-dev-middleware 中的一个安全漏洞,报告为 CVE-2024-29180,该漏洞涉及允许路径遍历攻击的 URL 验证不足。 Dependabot 标记了此问题,但由于我使用 Vue CLI 的项目中存在依赖项冲突,因此无法将 webpack-dev-middleware 更新到无漏洞版本。

产生具体冲突是因为@vue/[email protected]需要通过[email protected]使用webpack-dev-middleware@^3.7.2,而该漏洞的修复版本从5.3.4开始。

考虑到这个依赖链,更新到安全版本似乎并不简单。以下是有关该漏洞的更多详细信息:

  1. 受影响的版本:<= 5.3.3
  2. 补丁版本:5.3.4

问题:

  • 如何在依赖于 @vue/[email protected] 的项目中安全地更新 webpack-dev-middleware?
  • 是否有解决方法可以在不升级整个 Vue CLI 或 webpack 堆栈的情况下缓解此漏洞?
  • 任何人都可以建议配置 devServer 或 devMiddleware 的最佳实践,以防止在未来的设置中出现此类漏洞吗?
security node-modules vue-cli dependabot yarn-lock.json
1个回答
0
投票

我通过简单地升级 webpack-dev-middleware 包解决了这个问题。 这表明该软件包在低于或等于 5.3.3 版本时存在漏洞。

npm install [email protected] -D

并将包放入package.json中的覆盖中 enter image description here

注意:添加后请删除node_modulespackage-lock.json并重新安装

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.