уязвимость безопасности uglify js -webpack-plugin

Question

Я получаю уязвимость безопасности в uglify js -webpack-plugin package

  Moderate        Cross-Site Scripting

  Package         serialize-javascript

  Patched in      >=2.1.1

  Dependency of   uglifyjs-webpack-plugin [dev]

  Path            uglifyjs-webpack-plugin > serialize-javascript

  More info       https://npmjs.com/advisories/1426

Все исправления, которые я получил, предлагают обновить serialize-javascript до последней версии, но, поскольку я не используя его напрямую, я не уверен, что делать здесь. Есть идеи?

Я использую эту версию "uglifyjs-webpack-plugin": "^2.2.0"

Answer 1

Посмотрите на пакет . json. Плагин имеет зависимость "serialize-javascript": "^1.7.0" и диапазон кареток означает, что будет загружено <2.0.0, фактически последняя приемлемая доступная версия - 1.9.1, где исправление не представлено.

Поскольку хранилище теперь заархивировано (считается устаревшим), вы можете установить его самостоятельно или, если есть возможность, переключиться на terser-webpack-plugin , как подсказывает документация.