uglifyjs-webpack-插件安全漏洞

Question

我在uglifyjs-webpack-plugin包上发现了一个安全漏洞

  Moderate        Cross-Site Scripting

  Package         serialize-javascript

  Patched in      >=2.1.1

  Dependency of   uglifyjs-webpack-plugin [dev]

  Path            uglifyjs-webpack-plugin > serialize-javascript

  More info       https://npmjs.com/advisories/1426

我遇到的所有修复程序都建议将serialize-javascript升级到最新版本，但由于我没有直接使用它，所以我不知道该怎么做。有什么想法吗？

我使用的是这个版本的"uglifyjs-webpack-plugin": "^2.2.0"

Answer 1

看一看package.json。该插件依赖于"serialize-javascript": "^1.7.0"，而caret range意味着<2.0.0将被下载，实际上最后一个可接受的可用版本是1.9.1，其中没有提供修复程序。

由于该存储库现在已存档(被认为已弃用)，因此您可以自己修补它，或者如果可以按照文档的建议切换到terser-webpack-plugin。