alibaba/Sentinel

lodash:4.17.15组件存在CVE-2020-8203漏洞建议升级

Open

#1.762 aberto em 25 de set. de 2020

Ver no GitHub
 (0 comments) (0 reactions) (0 assignees)Java (23.109 stars) (8.150 forks)batch import
area/dashboardgood first issue

Description

https://github.com/alibaba/Sentinel/blob/55a8294ab0afb08c6c048e541cf8a99c49069dac/sentinel-dashboard/src/main/webapp/resources/package-lock.json#L2418-L2421

推荐升级版本: 4.17.20

Guia do colaborador

Pilha de tecnologia
javascriptnodejs
Domain
securityfrontend
Tipo Issue
bug
DifficultyDificuldade de implementação estimada para um novo contribuidor, de 1 para alterações muito pequenas a 5 para trabalho de nível especializado.
1
Tempo estimadoUm intervalo de tempo aproximado para um colaborador experiente investigar, implementar, testar e preparar um pull request.
under 1 hour
Status da atividadeQuão disponível o issue aparece agora: novo, ativo, obsoleto, bloqueado ou aguardando entrada do mantenedor.
fresh
ClarityCom que clareza o issue explica a mudança esperada, os critérios de aceitação e a próxima etapa.
clear
Prerequisites
None
Simpatia para novatosUma pontuação de 1 a 100 que estima o quão acessível este issue é para colaboradores iniciantes.
95
Direção de pesquisa
The issue identifies a specific file `sentinel dashboard/src/main/webapp/resources/package lock.json` where lodash version 4.17.15 is used. The task is to upgrade lodash to version 4.17.20 or later to fix CVE 2020-8203. Run `npm install lodash@4.17.20` in the `sentinel dashboard/src/main/webapp/resources/` directory and update the `package lock.json` accordingly. Ensure no breaking changes occur by testing the dashboard.