Github仓库收到一个“Arbitrary Code Execution in underscore”高危漏洞警告

4个月前 (05-08) 263℃ 0

前言

本来是为了调整博客手机模式下图片显示太大去github寻找参考代码的,登录以后就看到一条信息提示,说我仓库https://github.com/xiamuguizhi/Chronicle有高危漏洞。

我看了下这个仓库,是我易语言开发的“Chronicle静态博客生成器”,我就那么这个exe运行文件能有啥漏洞,在仔细看下说明,是我使用的"Editor.md"编辑器一个js文件underscore.min.js被被爆出Arbitrary Code Execution in underscore,我也不懂是什么,就没想管毕竟不是在服务器运行的!

但是我突然想到,我前段时间折腾的“一个编辑器折腾了我一天”文件就是从这个编辑器复制出来的,为了安全第一感觉修复一下吧,不管三七二十一修复就对了!

漏洞说明

漏洞影响版本: >= 1.3.2, < 1.12.1 Patched versions

修补版本: 1.12.1

漏洞说明如下:

Arbitrary Code Execution in underscore

The package underscore from 1.13.0-0 and before 1.13.0-2, from 1.3.2 and before 1.12.1 are vulnerable to Arbitrary Code Execution via the template function, particularly when a variable property is passed as an argument as it is not sanitized.

漏洞说明地址:https://github.com/advisories/GHSA-cf4h-3jhx-xvhq

修复办法

上面很详细了说明修复版本 1.12.1 以上,那我下载个最新的版本替换下不就好了哈哈。

我从服务器下载下来underscore.min.js看了下版本Underscore.js 1.8.2还真是受影响。

开始替换

一 : 先打开官网 http://underscorejs.org/ 选择下载 v1.13.1 Downloads 8.59 KB, Minified and Gzipped 生产环压缩版本。

ps:当然也可以使用CDN,国内CDN推荐https://www.bootcdn.cn/underscore.js/,我个人是喜欢下载到服务器。

二 : 上传服务器,清除游览器缓存,基本就ok啦~

结尾

不得不说Github的Dependabot 还是Nice的!我百度了一下这个原来19年就推出了,不是开发者不了解,也是今天提示有漏洞,不然估计碰不到这个问题吧,哈哈哈哈!!!

Dependabot 现在还集成了 GitHub 的Security Advisory API,使用户可以访问其“精心构造的”漏洞数据库。GitHub 指出,Security Advisory 服务在去年使用了超过1000万个和1000多个缺陷相关的警报。

标签: none

非特殊说明,本博所有文章均为博主原创。

吐槽啦~



已有 3 条评论


  1. 林羽凡 4个月前 (05-10) #3
    厉害呀。
  2. 哥斯拉 4个月前 (05-08) #2
    underscore是一个JavaScript实用库,提供了一整套函数式编程的实用功能,但是没有扩展任何JavaScript内置对象。
    然而还是不知道是干啥的。
    叶开楗 4个月前 (05-08) #2-1
    @哥斯拉:我也是不知道干嘛的,但是提示危险就折腾一下
至顶 留言 至底