┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ react-native-cached-image │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ react-native-cached-image > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/577 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 11 vulnerabilities (2 low, 8 moderate, 1 high) in 26316 scanned packages
11 vulnerabilities require manual review. See the full report for details.
这在我try npm install
时就出现了,所有这些都需要手动判断.我试图访问this以查看更多信息,显然这是因为我的lodash
是4.17.4
版.然后我运行了npm install --save lodash@4.17.5
并判断了package.json
以确保其正确反射.
然而,漏洞似乎仍然存在.想知道我是不是搞错了?
根据要求,包装的主体.json
"dependencies": {
"lodash": "^4.17.5",
}