[Security] 1.3.1에서 1.4.2로 eslint utils 추가
4582 단어 ghsup
묘사
1.3.1에서 1.4.2까지의 충돌eslint-utils.이 업데이트에는 보안 복구 프로그램이 포함되어 있습니다.취약점 복구
*GitHub 보안 컨설팅 데이터베이스*
>**eslint utils에 영향을 주는 심각한 취약점**
>##"getStaticValue"함수는 모든 코드를 실행할 수 있습니다.
>
>#### 영향
>
>`getStaticValue` 함수는 모든 코드를 실행할 수 있습니다.
>
>### 패치
>
> 이 문제는 1.4.1에서 해결되었습니다.'eslint utils'를 업데이트하십시오.
>
>####변통 방법
>
>'getStaticValue'함수,'getStringIfConstant'함수와'getPropertyName'함수를 사용하지 마십시오.
>
>####자세한 내용
>
> 본 컨설팅에 대해 궁금한 사항이나 의견이 있는 경우
>* [eslint utils]에서 질문 열기(https://github.com/mysticatea/eslint-utils)
>
> 영향 받는 버전: >=1.2.0<1.4.1
언약
-[`4e1bc07`](https://github.com/mysticatea/eslint-utils/commit/4e1bc077c2a6bb00538d66b69a63c24de3463bed) 1.4.2
-[`e4cb014`](https://github.com/mysticatea/eslint-utils/commit/e4cb01498df6096b66edb0c78965ee6f47d3ac77) 🐛 빈 테스트 추가
-[`230a4e2`](https://github.com/mysticatea/eslint-utils/commit/230a4e2275cde169cbfbb95cd2e4de2152fae0a2) 1.4.1
-[`08158db`](https://github.com/mysticatea/eslint-utils/commit/08158db1c98fd71cf0f32ddefbc147e2620e724c) 🐛 getStaticValue 보안 문제 해결
-[`587cca2`](https://github.com/mysticatea/eslint-utils/commit/587cca2f82c245f5fc4a8b9fb2cf6b35c0d02552) 🐛 텍스트를 올바르게 처리하려면 getStringIfConstant 수정
-[`c119e83`](https://github.com/mysticatea/eslint-utils/commit/c119e832952c8c653bd4f21e39eb9f7ce48e5947) 🐛 getStaticValue를 수정하여 bigint를 올바르게 처리합니다.
-[`531b16f`](https://github.com/mysticatea/eslint-utils/commit/531b16fa686b80a8cc450eb87525115233ce6064) 🔖 1.4.0
-[276303d`](https://github.com/mysticatea/eslint-utils/commit/276303d826bf94b9e6d6cdf5697cb1feb54c89ca) ⚒ 프로모션 요약
-[`cb518c7`](https://github.com/mysticatea/eslint-utils/commit/cb518c70ee037722f802d808bbbe93da83f07fb3) 🐛 Haside 효과 가음성 수정
-[`aac472e`](https://github.com/mysticatea/eslint-utils/commit/aac472e815551688d23cc8fd88f9044dbf276804) 🐛 fix isParenthesized는 Import Expression에서 가짜 양성(fixes[#1](https://github-redirect.dependabot.com/mysticatea/eslint-utils/issues/1))
- [비교 뷰]에서 볼 수 있는 추가 커밋(https://github.com/mysticatea/eslint-utils/compare/v1.3.1...v1.4.2)
이 PR과의 충돌은 사용자가 직접 변경하지 않는 한 해결될 수 있습니다.주석
@dependabot rebase
을 사용하여 수동으로 재기준을 트리거할 수도 있습니다.신뢰성 명령 및 옵션
이 PR에 의견을 달면 Cortebot 작업을 트리거할 수 있습니다.
- "@relateot rebase"는 이 PR의 기초를 재설정합니다.
- "@relateot recreate"는 이 PR을 다시 만들고 편집한 내용을 덮어씁니다.
- "@cordenot merge"는 CI 전송 후 이 PR을 병합합니다.
- "@relateot squash and merge"는 CI 전송 후 이 PR을 누르고 병합합니다.
- "@Correlot cancel merge"는 이전에 요청한 병합을 취소하고 자동 병합을 차단합니다.
- 이 PR이 종료되면 @Correlot Recover에서 다시 열립니다.
- @CorrelotClose가 PR을 닫고 Correlott를 중지하고 다시 생성합니다.수동으로 닫아서 같은 결과를 얻을 수 있습니다
- "@corderot ignore this main version"은 이 PR을 닫고 Corderot가 이 주요 버전의 콘텐츠를 다시 만드는 것을 중지합니다. (PR을 다시 열거나 업그레이드하지 않는 한)
- "@corderot ignore this minor version"은 이 PR을 닫고 corderot가 이 minor version에 대해 더 많은 PR을 만드는 것을 중지합니다. (PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@corderot ignore this dependency"는 이 PR을 닫고 이 의존항에 대한 corderot의 내용을 다시 만들지 않습니다(PR을 다시 열거나 PR로 업그레이드하지 않는 한)
- "@cordeot use this label"현재 태그를 재구매 프로토콜 및 언어의 미래 PRs 기본 태그로 설정
- "@cordenot use this reviewers"현재 검토자를 해당 재구매 계약 및 언어의 미래 PRs에 대한 기본 검토자로 설정
- "@cordenot use this assignees"는 현재 수인을 해당 재구매 프로토콜과 언어의 미래 PRs 기본값으로 설정
- "@cordeot use this milestone"은 현재 이정표를 재구매 계약 및 언어의 미래 PRs에 대한 기본 이정표로 설정
- "@Relateot badge me"는 자술한 파일에 "Relateot enabled"배지를 추가할 수 있도록 코드로 이 홍보에 대해 설명합니다.
또한 Correlot[대시보드]에서 다음을 설정할 수도 있습니다(https://app.dependabot.com):
- 업데이트 빈도(하루 중 시간과 일주일 중 날짜 포함)
- 자동 병합 옵션(기본/패치/보조 및 개발/런타임 종속성)
- 끌어오기 요청 제한(업데이트가 실행될 때마다/또는 언제든지 열려 있음)
- 범위 밖의 업데이트(필요한 경우 잠금 파일 업데이트만 수신)
- 보안 업데이트(필요한 경우 보안 업데이트만 수신)
마지막으로 @Correlott를 언급하여 저희에게 연락하실 수 있습니다.
토론 #1
가 #36으로 대체되었습니다.Reference
이 문제에 관하여([Security] 1.3.1에서 1.4.2로 eslint utils 추가), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://github.com/technicalpickles/ghsup/issues/28텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)