alibaba/Sentinel

lodash:4.17.15组件存在CVE-2020-8203漏洞建议升级

Open

#1 762 ouverte le 25 sept. 2020

Voir sur GitHub
 (0 commentaires) (0 réactions) (0 assignés)Java (23 109 stars) (8 150 forks)batch import
area/dashboardgood first issue

Description

https://github.com/alibaba/Sentinel/blob/55a8294ab0afb08c6c048e541cf8a99c49069dac/sentinel-dashboard/src/main/webapp/resources/package-lock.json#L2418-L2421

推荐升级版本: 4.17.20

Guide contributeur

Stack technique
javascriptnodejs
Domaine
securityfrontend
Type d'issue
bug
DifficultéDifficulté estimée pour un nouveau contributeur, de 1 pour un très petit changement à 5 pour un travail expert.
1
Temps estiméFourchette de temps approximative pour investiguer, implémenter, tester et préparer une pull request.
under 1 hour
Statut d'activitéDisponibilité apparente de l'issue : fraîche, active, ancienne, bloquée ou en attente d'un mainteneur.
fresh
ClartéClarté avec laquelle l'issue explique le changement attendu, les critères d'acceptation et la prochaine étape.
clear
Prérequis
Aucun
Accessibilité débutantScore de 1 à 100 estimant l'accessibilité de cette issue pour un premier contributeur.
95
Direction de recherche
The issue identifies a specific file `sentinel dashboard/src/main/webapp/resources/package lock.json` where lodash version 4.17.15 is used. The task is to upgrade lodash to version 4.17.20 or later to fix CVE 2020-8203. Run `npm install lodash@4.17.20` in the `sentinel dashboard/src/main/webapp/resources/` directory and update the `package lock.json` accordingly. Ensure no breaking changes occur by testing the dashboard.