Github仓库收到一个“Arbitrary Code Execution in underscore”高危漏洞警告
前言
本来是为了调整博客手机模式下图片显示太大去github寻找参考代码的,登录以后就看到一条信息提示,说我仓库https://github.com/xiamuguizhi/Chronicle
有高危漏洞。
我看了下这个仓库,是我易语言开发的“Chronicle静态博客生成器”,我就那么这个exe
运行文件能有啥漏洞,在仔细看下说明,是我使用的"Editor.md"编辑器一个js文件underscore.min.js
被被爆出Arbitrary Code Execution in underscore
,我也不懂是什么,就没想管毕竟不是在服务器运行的!
但是我突然想到,我前段时间折腾的“一个编辑器折腾了我一天”文件就是从这个编辑器复制出来的,为了安全第一感觉修复一下吧,不管三七二十一修复就对了!
漏洞说明
漏洞影响版本: >= 1.3.2
, < 1.12.1
Patched versions
修补版本: 1.12.1
漏洞说明如下:
Arbitrary Code Execution in underscore
The package underscore from 1.13.0-0 and before 1.13.0-2, from 1.3.2 and before 1.12.1 are vulnerable to Arbitrary Code Execution via the template function, particularly when a variable property is passed as an argument as it is not sanitized.
漏洞说明地址:https://github.com/advisories/GHSA-cf4h-3jhx-xvhq
修复办法
上面很详细了说明修复版本 1.12.1
以上,那我下载个最新的版本替换下不就好了哈哈。
我从服务器下载下来underscore.min.js
看了下版本Underscore.js 1.8.2
还真是受影响。
开始替换
一 : 先打开官网 http://underscorejs.org/
选择下载 v1.13.1 Downloads 8.59 KB, Minified and Gzipped
生产环压缩版本。
ps:当然也可以使用CDN,国内CDN推荐https://www.bootcdn.cn/underscore.js/
,我个人是喜欢下载到服务器。
二 : 上传服务器,清除游览器缓存,基本就ok啦~
结尾
不得不说Github的Dependabot
还是Nice的!我百度了一下这个原来19年
就推出了,不是开发者不了解,也是今天提示有漏洞,不然估计碰不到这个问题吧,哈哈哈哈!!!
Dependabot 现在还集成了 GitHub 的Security Advisory API,使用户可以访问其“精心构造的”漏洞数据库。GitHub 指出,Security Advisory 服务在去年使用了超过1000万个和1000多个缺陷相关的警报。
广告