5

Github仓库收到一个“Arbitrary Code Execution in underscore”高危漏洞警告

 3 years ago
source link: https://qq.md/posts/126
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

Github仓库收到一个“Arbitrary Code Execution in underscore”高危漏洞警告

23小时前 58℃ 0赞

本来是为了调整博客手机模式下图片显示太大去github寻找参考代码的,登录以后就看到一条信息提示,说我仓库https://github.com/xiamuguizhi/Chronicle有高危漏洞。

我看了下这个仓库,是我易语言开发的“Chronicle静态博客生成器”,我就那么这个exe运行文件能有啥漏洞,在仔细看下说明,是我使用的"Editor.md"编辑器一个js文件underscore.min.js被被爆出Arbitrary Code Execution in underscore,我也不懂是什么,就没想管毕竟不是在服务器运行的!

但是我突然想到,我前段时间折腾的“一个编辑器折腾了我一天”文件就是从这个编辑器复制出来的,为了安全第一感觉修复一下吧,不管三七二十一修复就对了!

6b89dc548dd6af5049eeb83ab22ac276.png

漏洞影响版本: >= 1.3.2, < 1.12.1 Patched versions

修补版本: 1.12.1

漏洞说明如下:

Arbitrary Code Execution in underscore

The package underscore from 1.13.0-0 and before 1.13.0-2, from 1.3.2 and before 1.12.1 are vulnerable to Arbitrary Code Execution via the template function, particularly when a variable property is passed as an argument as it is not sanitized.

漏洞说明地址:https://github.com/advisories/GHSA-cf4h-3jhx-xvhq

上面很详细了说明修复版本 1.12.1 以上,那我下载个最新的版本替换下不就好了哈哈。

我从服务器下载下来underscore.min.js看了下版本Underscore.js 1.8.2还真是受影响。

bf79fb904d73ff41df2b26fb02ba20fc.png

一 : 先打开官网 http://underscorejs.org/ 选择下载 v1.13.1 Downloads 8.59 KB, Minified and Gzipped 生产环压缩版本。

727e18563e5d2dcb7a5c1e29dfb97e0e.png

ps:当然也可以使用CDN,国内CDN推荐https://www.bootcdn.cn/underscore.js/,我个人是喜欢下载到服务器。

二 : 上传服务器,清除游览器缓存,基本就ok啦~

cfb3d7c30ae0e4001e8c49bc24f447f1.png

不得不说Github的Dependabot 还是Nice的!我百度了一下这个原来19年就推出了,不是开发者不了解,也是今天提示有漏洞,不然估计碰不到这个问题吧,哈哈哈哈!!!

Dependabot 现在还集成了 GitHub 的Security Advisory API,使用户可以访问其“精心构造的”漏洞数据库。GitHub 指出,Security Advisory 服务在去年使用了超过1000万个和1000多个缺陷相关的警报。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK