┌───────────────┬──────────────────────────────────────────────────────────────┐
│ Low │ Prototype Pollution │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in │ >=4.17.5 │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ react-native-cached-image │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ react-native-cached-image > lodash │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://npmjs.com/advisories/577 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 11 vulnerabilities (2 low, 8 moderate, 1 high) in 26316 scanned packages
11 vulnerabilities require manual review. See the full report for details.
当我尝试运行 `npm install` 时出现了这个问题,并且它们都需要手动审核。我尝试访问 这里 获取更多信息,显然是因为我的 `lodash` 版本是 `4.17.4`。所以我运行了 `npm install --save lodash@4.17.5` 并检查了我的 `package.json` 确保它正确反映了这样的更改。然而,漏洞仍然存在。不知道我是否使用了错误的修复方法?
按照要求,这是 `package.json` 文件的正文。
"dependencies": {
"lodash": "^4.17.5",
}
package.json
文件中,lodash
的依赖项是什么?请在问题正文中发布实际字符串。 - Akrionreact-native-cached-image
这个库有问题,因为它可能依赖于那个较旧版本的lodash,你能在那个库的package.json
中看到它说了什么吗? - Akrion4.17.4
版本,刚刚在他们的GitHub上检查了一下,链接为https://github.com/kfiroo/react-native-cached-image/blob/master/package.json#L51 - Akrion