Github仓库收到一个“Arbitrary Code Execution in underscore”高危漏洞警告

前言

本来是为了调整博客手机模式下图片显示太大去github寻找参考代码的，登录以后就看到一条信息提示，说我仓库https://github.com/xiamuguizhi/Chronicle有高危漏洞。

我看了下这个仓库，是我易语言开发的“Chronicle静态博客生成器”，我就那么这个exe运行文件能有啥漏洞，在仔细看下说明，是我使用的"Editor.md"编辑器一个js文件underscore.min.js被被爆出Arbitrary Code Execution in underscore，我也不懂是什么，就没想管毕竟不是在服务器运行的！

但是我突然想到，我前段时间折腾的“一个编辑器折腾了我一天”文件就是从这个编辑器复制出来的，为了安全第一感觉修复一下吧，不管三七二十一修复就对了！

漏洞说明

漏洞影响版本： >= 1.3.2, < 1.12.1 Patched versions

修补版本： 1.12.1

漏洞说明如下：

Arbitrary Code Execution in underscore

The package underscore from 1.13.0-0 and before 1.13.0-2, from 1.3.2 and before 1.12.1 are vulnerable to Arbitrary Code Execution via the template function, particularly when a variable property is passed as an argument as it is not sanitized.

漏洞说明地址：https://github.com/advisories/GHSA-cf4h-3jhx-xvhq

修复办法

上面很详细了说明修复版本 1.12.1 以上，那我下载个最新的版本替换下不就好了哈哈。

我从服务器下载下来underscore.min.js看了下版本Underscore.js 1.8.2还真是受影响。

开始替换

一 : 先打开官网 http://underscorejs.org/ 选择下载 v1.13.1 Downloads 8.59 KB, Minified and Gzipped 生产环压缩版本。

ps：当然也可以使用CDN，国内CDN推荐https://www.bootcdn.cn/underscore.js/，我个人是喜欢下载到服务器。

二 : 上传服务器，清除游览器缓存，基本就ok啦~

结尾

不得不说Github的Dependabot 还是Nice的！我百度了一下这个原来19年就推出了，不是开发者不了解，也是今天提示有漏洞，不然估计碰不到这个问题吧，哈哈哈哈！！！

Dependabot 现在还集成了 GitHub 的Security Advisory API，使用户可以访问其“精心构造的”漏洞数据库。GitHub 指出，Security Advisory 服务在去年使用了超过1000万个和1000多个缺陷相关的警报。