关键词:
【中文标题】npm audit 任意文件覆盖【英文标题】:npm audit Arbitrary File Overwrite 【发布时间】:2019-09-02 06:13:56 【问题描述】:我最近使用 ng update 更新了我的 Angular 版本
在运行npm audit 时,它发现了 1 个高严重性漏洞,但没有提供有关如何解决它的建议。它通常建议从 package.json 升级一个包,例如:“angular-devkit/build-angular”,但我已经在使用他们的最新版本。
=== npm audit security report ===
Manual Review
Some vulnerabilities require your attention to resolve
Visit https://go.npm.me/audit-guide for additional guidance
High Arbitrary File Overwrite
Package tar
Patched in >=4.4.2
Dependency of @angular-devkit/build-angular [dev]
Path @angular-devkit/build-angular > node-sass > node-gyp > tar
More info https://npmjs.com/advisories/803
found 1 high severity vulnerability in 29707 scanned packages
1 vulnerability requires manual review. See the full report for details.
我想安装npm i tar,但我不确定。
【问题讨论】:
【参考方案1】:以下内容对我有用:
转到 node_modules > node_gyp > package.json,然后找到依赖项下的 tar 并将 2.0.0 替换为 4.4.8。
然后运行:
-
npm 我
npm 审核
npm 审计修复
npm 审核
您应该看到 0 个漏洞。
我更新了一些 Angular 项目,每个项目都有相同的问题。做上述工作一直有效。
【讨论】:
这很糟糕。更改本地 node_modules 始终是一个糟糕的解决方案,因为您的更改不会反映在全新安装上。 你的理解是错误的。有关详细方法,请参阅***.com/questions/51377148/… 全新安装:克隆您的项目(假设它是一个 git 存储库)并运行npm install 或删除完整的 node_modules 文件夹并运行“npm install”。在这两种情况下,您对节点模块的本地更改都不会反映。【参考方案2】:
angular-cli 依赖于 node-gyp,对此有一个未解决的问题:https://github.com/nodejs/node-gyp/issues/1714
要解决此问题,您可以修补 node-gyp,然后修补 angular 以使用修补过的 node-gyp。或者等待并希望他们能尽快修复它。
【讨论】:
【参考方案3】:你应该在你的 package-lock.json 中搜索这个:
"tar":
"version": "2.2.1",
"resolved": "https://registry.npmjs.org/tar/-/tar-2.2.1.tgz",
并为此重新替换:
"tar":
"version": "4.4.8",
"resolved": "https://registry.npmjs.org/tar/-/tar-4.4.8.tgz",
这对我有用
【讨论】:
github.com/angular/angular-cli/issues/… 如果您阅读上面由 gloomy.penguin 提供的链接中的 cmets,它会说:“不要手动编辑锁定文件。等到 sass 更新并给 angular chaps 时间,现在是星期五(2019无论如何-04-12 对我们来说)我们不会在本周末发布。Angular 的家伙解决问题的速度非常快,耐心是关键。”npm 审计修复:1 个高严重性漏洞:任意文件覆盖
】npm审计修复:1个高严重性漏洞:任意文件覆盖【英文标题】:npmauditfix:1highseverityvulnerability:ArbitraryFileOverwrite【发布时间】:2019-09-0209:38:52【问题描述】:===npmauditsecurityreport===┌─────────────────────... 查看详情
当包是最新的时,如何修复具有任意文件覆盖高漏洞的 NPM 包 Tar?
】当包是最新的时,如何修复具有任意文件覆盖高漏洞的NPM包Tar?【英文标题】:HowtofixNPMpackageTar,withhighvulnerabilityaboutArbitraryFileOverwrite,whenpackageisuptodate?【发布时间】:2019-09-0210:12:06【问题描述】:我刚刚从NPM安装了Flickity,并... 查看详情
ENOLOCK npm 错误!运行 npm audit fix 时出错
...。npm错误!代码ENOLOCKnpm错误!audit此命令需要现有的锁定文件。npm错误 查看详情
运行 `npm audit fix` 来修复它们,或运行 `npm audit` 了解详细信息
】运行`npmauditfix`来修复它们,或运行`npmaudit`了解详细信息【英文标题】:Run`npmauditfix`tofixthem,or`npmaudit`fordetails【发布时间】:2020-11-2216:22:58【问题描述】:当我尝试编译项目时,得到:found2860vulnerabilities(2122low,19moderate,726high)run... 查看详情
NPM-AUDIT 发现高漏洞。我应该做些啥?
】NPM-AUDIT发现高漏洞。我应该做些啥?【英文标题】:NPM-AUDITfindtohighvulnerabilities.WhatamIsupposedtodo?NPM-AUDIT发现高漏洞。我应该做些什么?【发布时间】:2020-04-2820:15:50【问题描述】:npmaudit在我的项目上运行并得到了这个高级命令... 查看详情
npm install 给出警告,npm audit fix 不起作用
】npminstall给出警告,npmauditfix不起作用【英文标题】:Npminstallgiveswarnings,npmauditfixnotworking【发布时间】:2019-04-0500:00:39【问题描述】:我正在开发一个带有.net核心webapi的Angular应用程序。当我克隆这个存储库时,我尝试在Angular应... 查看详情
您如何阅读 npm audit ERESOLVE 错误?
】您如何阅读npmauditERESOLVE错误?【英文标题】:HowdoyoureadnpmauditERESOLVEerror?【发布时间】:2021-09-1322:15:58【问题描述】:我经常收到类似于下面的错误ERESOLVE。你是怎么读的?>npmauditfixnpmERR!codeERESOLVEnpmERR!ERESOLVEunabletoresolvedepende... 查看详情
npm audit --parseable 的列名文档?
】npmaudit--parseable的列名文档?【英文标题】:Columnnamedocumentationfornpmaudit--parseable?【发布时间】:2021-03-2922:03:11【问题描述】:有谁知道我在哪里可以找到我可以通过将其与默认的json输出进行比较来猜测一半的列是什么,但我不... 查看详情
使用“npm audit”时如何只检查高漏洞?
】使用“npmaudit”时如何只检查高漏洞?【英文标题】:Howtocheckforonlyhighvulnerabilitieswhenusing"npmaudit"?【发布时间】:2018-10-2303:43:46【问题描述】:当我使用新的npm6执行npminstall时我收到一条消息,告诉我我有一些漏洞:[!]... 查看详情
“npm audit fix”到底是做啥的?
】“npmauditfix”到底是做啥的?【英文标题】:Whatdoes"npmauditfix"exactlydo?“npmauditfix”到底是做什么的?【发布时间】:2020-08-0812:27:45【问题描述】:npmauditfix旨在自动升级/修复npm包中的漏洞。但是,我还没有找到修复这些... 查看详情
npm audit 仅适用于生产依赖项?
】npmaudit仅适用于生产依赖项?【英文标题】:npmauditonlyforproductiondependencies?【发布时间】:2018-10-2510:07:05【问题描述】:目前,在项目中运行npmaudit时,它会同时检查dependencies和devDependencies。我正在寻找一种只检查dependencies的方... 查看详情
如何修复这些漏洞? (npm audit fix 无法修复这些漏洞)
】如何修复这些漏洞?(npmauditfix无法修复这些漏洞)【英文标题】:Howtofixthesevulnerabilities?(npmauditfixfailstofixthesevulnerabilities)【发布时间】:2020-02-1520:35:23【问题描述】:我的项目有6个高度严重的漏洞,我不知道如何修复它们。... 查看详情
为啥“npm audit”CLI 命令不能从 Windows 10 中的 Powershell 运行?
】为啥“npmaudit”CLI命令不能从Windows10中的Powershell运行?【英文标题】:Whydoesn\'t"npmaudit"CLIcommandrunfromPowershellinWindows10?为什么“npmaudit”CLI命令不能从Windows10中的Powershell运行?【发布时间】:2019-02-1121:05:18【问题描述】... 查看详情
npm audit fix angular 10.0.1 后的错误
】npmauditfixangular10.0.1后的错误【英文标题】:Errorsafternpmauditfixangular10.0.1【发布时间】:2021-04-2703:34:00【问题描述】:我今天运行了这个较旧的10.0.1Angular项目,它告诉我它有很多低漏洞和一些高漏洞。所以我运行npmauditfix来修复... 查看详情
如何解决 npm audit 返回 ENOAUDIT:您配置的注册表不支持审计请求?
】如何解决npmaudit返回ENOAUDIT:您配置的注册表不支持审计请求?【英文标题】:HowdoIresolvenpmauditreturningENOAUDIT:Yourconfiguredregistrydoesnotsupportauditrequests?【发布时间】:2019-04-3017:26:42【问题描述】:这最近发生了,我不知道除了添加... 查看详情
Npm audit 在创建新的 react native 项目时显示 9 个漏洞
】Npmaudit在创建新的reactnative项目时显示9个漏洞【英文标题】:Npmauditshows9vulnerabilitiesuponcreatinganewreactnativeproject【发布时间】:2018-10-2414:59:56【问题描述】:当我创建一个新的React本机项目并运行npmaudit时,我发现了9个漏洞。漏... 查看详情
尝试将级别更改为高时,命令 npm audit-level 不起作用
】尝试将级别更改为高时,命令npmaudit-level不起作用【英文标题】:Thecommandnpmaudit-levelisnotworkingwhentryingtochangeleveltohigh【发布时间】:2020-09-0414:44:21【问题描述】:我有一个带有NodeJS的前端应用程序,我试图让npm审计仅在高漏洞... 查看详情
npm install issue:27 个漏洞(16 个中等,9 个高,2 个严重)要解决所有问题,运行:npm audit fix --force
...16个中等,9个高,2个严重)要解决所有问题,运行:npmauditfix--force【英文标题】:npminstallissue:27vulnerabilities(16moderate,9high,2critical)Toaddressallissues,run:npmauditfix--force【发布时间】:2022-01-1017:38:21【问题描述】:当我在相关的react项 查看详情