依赖性:grapesjs >=0.21.13 依赖于易受攻击的下划线版本
问题
GrapesJS版本
- 我确认使用最新版本的GrapesJS
你用的是什么浏览器?
Edge,mozilla
可复制演示链接
匿名
描述一下那个虫子
下拍<=1.13.7 严重程度:高 下拍<=1.13.7 严重程度:高 Underscore在_.flatten和_.isEqual中具有无限递归,潜在的DoS攻击——https://github.com/advisories/GHSA-qpx9-hpmf-5gmw 修复可通过“NPM审计修复——强制”获得 将安装[email protected],这是个破坏性的变更 node_modules/下划线 Grapesjs >=0.21.13 这取决于underscore的脆弱版本 node_modules/葡萄
行为准则
- 我同意遵守本项目的行为准则
回答(2)
谢谢你的报告@tiburciomzt
该凸起已合并,并将很快发布。
谢谢你举报,@tiburciomzt。 安全和依赖性问题很重要。GrapesJS 团队积极致力于保持依赖系统的更新。 为你现在: 运行“npm审计修复”以查看可用的补丁 查看是否有更新的GrapesJS版本,可能已经解决了这个问题 如有稳定版,升级前先测试最新稳定版 如果漏洞非常严重,可以使用“npm audit fix --force”,但请务必彻底测试 理解风险: 在GitHub安全公告中查看具体漏洞详情 并非所有高严重性问题都会影响你的代码路径 某些漏洞仅在特定条件下触发 保持最新: 关注GrapesJS的新发布 订阅仓库的安全通知 团队在发布周期中优先考虑安全更新
相关问答
通过相似的问题讨论继续研究。
问题 #3443
主干网-撤销/下划线安全建议
版本: 'v0.17.3' 你能重现演示中的bug吗?[x] 是的[ ] 不 预期的行为是什么? 见下文 目前的行为是什么? 嵌套依赖中使用的“underscore”版本中存在已知的安全漏洞。 当前版本的“葡萄”使用“backbone-undo”^0.2.5” https://...
问题 #4682
模块未找到:错误:无法解决“utils/mixins”
葡萄JS版本[X] 我确认使用最新版本的GrapesJS你用的是什么浏览器? 铬106可复制演示链接 本地主持描述一下那个虫子 我更新了包含 Grapesjs 的项目,但现在出现了这个错误: 当我运行我的项目时,会出现这个错误: 以下是module.js前两条线的特点: 我尝试...
问题 #4411
XSS在选择器管理器中添加类名时
葡萄JS版本 [X] 我确认使用最新版本的GrapesJS 你用的是什么浏览器? Chrome v102 可复制演示链接 https://jsfiddle.net/szLp8h4n 描述一下那个虫子 如何复现这个漏洞?选择任意组件在选择器管理器中添加类名,比如“<a href=...
问题 #3286
优点:Codemirror 自定义密钥和插件
有没有办法为内置的 Codemirror 编辑器添加快捷键和插件?我特别想要一个评论快捷键。 有各种插件使用Grapesjs编辑器,包括 https://github.com/artf/grapesjs/issues/324#issuecomment-330571539 和自定...
与此问题匹配的付费插件
根据问题关键词和标签相关性精选,助你更快交付。
正在加载付费插件推荐……
相关教程
关于同一主题的深入指南。
教程
Lighthouse for GrapesJS: Audit Accessibility and SEO Without Leaving the Editor
Live WCAG 2.1/2.2 accessibility auditor + SEO manager for GrapesJS. Every finding is bound to the exact component — click to select, then one-click fix.
教程
GrapesJS DevTools: A Developer Panel Inside Your Editor
If you've ever debugged GrapesJS with console.log(editor.getSelected()) and a dozen throwaway event listeners — this post is for you.
教程
Find the Right GrapesJS Plugin in Seconds: Smarter Discovery Is Live
We're shipping a set of discovery upgrades. New label filters, a proper compatibility switch for GrapesJS vs Studio, one-click and a smarter sort bar.
浏览插件分类
直接跳转到市场上的插件分类页面。