Как бороться с уязвимостями Axios в версиях 1.0.0 - 1.5.1 и >= 1.3.2?

Когда я запускаю npm install, у меня умеренная уязвимость, как ее исправить?

1 moderate severity vulnerability

To address all issues, run:
  npm audit fix

Run `npm audit` for details.

# npm audit report

axios  1.0.0 - 1.5.1
Severity: moderate
Axios Cross-Site Request Forgery Vulnerability - https://github.com/advisories/GHSA-wf5p-g6vw-rhxx
fix available via `npm audit fix`
node_modules/axios

1 moderate severity vulnerability

To address all issues, run:
  npm audit fix

Однако когда я запускаю npm audit fix, я получаю еще большую уязвимость:

# npm audit report

axios  >=1.3.2
Severity: high
Server-Side Request Forgery in axios - https://github.com/advisories/GHSA-8hc4-vh64-cxmj
fix available via `npm audit fix`
node_modules/axios

1 high severity vulnerability

To address all issues, run:
  npm audit fix

Не могли бы вы помочь мне устранить эти Axios уязвимости?

Неужели простого обновления до последней версии Axios (на данный момент 1.7.3) недостаточно? Вероятно, эти вопросы решены.

— 13.08.2024 13:31

Вчера была обнаружена уязвимость высокой степени серьезности. Еще не было достаточно времени, чтобы это исправить. Вам остается либо дождаться обновления, устраняющего уязвимость, либо оценить, влияют ли существующие уязвимости на ваш проект и каким образом, а затем на основе этого выбрать версию Axios.

— 13.08.2024 13:36

@nbokmans Я уже пробовал это, запустив npm update, и получил высокую уязвимость.

— 13.08.2024 16:00

На данный момент я предпочитаю использовать версию 1.3.1, потому что она имеет лишь умеренную уязвимость, а не высокую, как последняя на данный момент 1.7.3. @GuyIncognito

— 13.08.2024 16:04

Вы прочитали и поняли jeffhacks.com/advisories/2024/06/24/CVE-2024-39338.html? Действительно ли ваше приложение уязвимо? Если вы не используете axios на сервере для отправки запросов с URL-адресами, созданными на основе входных данных, контролируемых злоумышленником, у вас нет проблем.

— 13.08.2024 22:42

Вышла версия 1.7.4, можно обновить, CVE исправлено

— 14.08.2024 10:05

javascript node.js typescript npm axios

13.08.2024 13:20

Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией

В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.

Концепция локализации и ее применение в приложениях React ⚡️

Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...

Улучшение производительности загрузки с помощью Google Tag Manager и атрибута Defer

В настоящее время производительность загрузки веб-сайта имеет решающее значение не только для удобства пользователей, но и для ранжирования в...

Безумие обратных вызовов в javascript [JS]

Здравствуйте! Юный падаван 🚀. Присоединяйся ко мне, чтобы разобраться в одной из самых запутанных концепций, когда вы начинаете изучать мир...

Система управления парковками с использованием HTML, CSS и JavaScript

Веб-сайт по управлению парковками был создан с использованием HTML, CSS и JavaScript. Это простой сайт, ничего вычурного. Основная цель -...

JavaScript Вопросы с множественным выбором и ответы

Если вы ищете платформу, которая предоставляет вам бесплатный тест JavaScript MCQ (Multiple Choice Questions With Answers) для оценки ваших знаний,...

748

Перейти к ответу Данный вопрос помечен как решенный