1. Rollup 4.x 路径遍历漏洞:恶意导入可导致任意文件写入(高危)
Dependabot 在 rollup 中检测到一个高危安全漏洞:通过路径遍历实现任意文件写入。该漏洞影响所有低于 4.20.0 版本的 Rollup 4.x 分支。攻击向量包括恶意的 import 语句或插件配置,攻击者可利用此漏洞在系统上写入任意文件。 漏洞详情: - 漏洞类型:路径遍历导致的任意文件写入 - 受影响版本:< 4.20.0(基于 Rollup 4.x) - 当前使用版本:需检查 package.json - 已修复版本:4.20.0+ - 严重性:高危(GHSA 提供 CVSS 评分) 解决方案: 1. 检查 package.json/package-lock.json 中的当前 rollup 版本 2. 将...