次の問題により、Liferay Digital Experience Platform 実装のセキュリティが損なわれる可能性があります。
脆弱性情報
Liferay Fjord テーマと Liferay 1975 London テーマは、既知の脆弱性を持つサードパーティ ライブラリに依存しています。 これらの脆弱性は、ビルドの devDependencies のみに影響します。デプロイされたコードは影響を受けません。
影響を受ける製品
- Liferay Fjord テーマ (Liferay DXP 7.0 用)
- Liferay 1975 London テーマ (Liferay Portal 7.0 CE 用)
解決策
以下にリストされている影響を受ける依存関係を更新します。
ライフレイ フィヨルドのテーマ
| 影響を受けるライブラリ | 脆弱性情報 | 解像度 |
| タール-2.2.1 | CVE-2018-20834 -803 | バージョン 2.2.2 以降にアップグレードする |
| websocket-extensions-0.1.3 | CVE-2020-7662 -1710 | バージョン 0.1.4 以降にアップグレードする |
| ミニミスト-0.0.10 | NPM-1179 | バージョン 0.2.1、1.2.3 以降にアップグレードする |
| stringstream-0.0.5 | NPM-664 | バージョン 0.0.6 以降にアップグレードする |
| ディープエクステンド-0.4.2 | CVE-2018-3750 -612 | バージョン 0.5.1 以降にアップデート |
| lodash-4.17.5 | 2021-23337CVE-2020-8203CVE 2020-28500 CVE 2019-10744 CVE-2019-1010266CVEnpm -782NPM-577 NPM- NPM-1065 | バージョン 4.17.21 以降にアップグレードする |
| ハンドルバー-3.0.3 | -2021-23383 NPM-1670 NPM-1325NPM- NPM- NPM-1300 - | バージョン 4.7.7 以降にアップグレードする |
| fstream-1.0.11 | CVE-2019-13173 -886 | バージョン 1.0.12 以降にアップグレードする |
| 拡張-3.0.1 | NPM-996 | バージョン 3.0.2 以降にアップグレードする |
| y18n-3.2.1 | NPM-1654 | バージョン 3.2.2、4.0.1、5.0.5 以降にアップグレードしてください |
| ホストされた-git-info-2.6.0 | CVE-2021-23362 -1677 | バージョン 2.8.9、3.0.8 以降にアップグレードしてください |
| js-yaml-3.11.0 | NPM-813 -788 | バージョン 3.13.1 にアップグレードする |
| mixin-deep-1.3.1 | CVE-2019-10746 -1013 | バージョン 1.3.2 以降にアップグレードする |
| 設定値 0.4.3 | NPM-1012 | バージョン 2.0.1 以降にアップグレードする |
| uglify-js-2.3.6 | CVE-2015-8858CVE- 48NPM-49 | バージョン 2.6.0 以降にアップデートする |
| cli-0.4.5 | NPM-95 | バージョン1.0.0以降にアップデート |
| yargs-パーサー-5.0.0 | CVE-2020-7608 -1500 | バージョン 13.1.2、15.0.1、18.1.1 以降にアップグレードする |
| トリム改行-1.0.0 | NPM-1753 | バージョン 3.0.1 または 4.0.1 以降にアップグレードする |
| diff-1.4.0 | NPM-1631 | 3.5.0 以降にアップグレードする |
| concat-with-sourcemaps-1.0.5 | NPM-644 | バージョン1.0.6以降にアップデート |
| cryptiles-3.1.2 | バージョン 4.1.2 以降にアップデートする | |
| node-sass-3.13.1 | CVE-2020-24025 -961 | バージョン 4.13.1 以降にアップグレードする |
Liferay 1975 ロンドンのテーマ
| 影響を受けるライブラリ | 脆弱性情報 | 解像度 |
| ua-パーサー-js-0.7.17 | NPM-1679 | バージョン 0.7.24 以降にアップグレードする |
| xmlhttprequest-ssl-1.5.3 | NPM-1746 -1665 | バージョン 1.6.2 以降にアップグレードする |
| http-proxy-1.16.2 | NPM-1486 | バージョン 1.18.1 以降にアップグレードする |
| bl-0.9.5 | NPM-1555 | バージョン 4.0.3、3.0.1、2.2.1、または 1.2.3 にアップグレードします |
| socket.io-1.7.3 | NPM-1609 | バージョン 2.4.0 以降にアップデートする |
| node-fetch-1.7.3 | NPM-1556 | バージョン 2.6.1 または 3.0.0-beta.9 にアップグレードする |
| adm-zip-0.4.7 | -2018-1002204NPM-994NPM- | バージョン 0.4.9 以降にアップデート |
| parsejson-0.0.3 | NPM-528 | この問題は修正されていません。 最新版です。 |
| マーク-0.3.6 | CVE-2017-1000427 -531 | バージョン 0.3.9 以降にアップデート |
| https-proxy-agent-1.0.0 | NPM-593 -1184 | バージョン 3.0.0 または 2.2.3 にアップグレードする |
| ブレース-0.1.5 | NPM-786 | バージョン 2.3.1 以降にアップグレードする |
| sync-exec-0.5.0 | NPM-310 | 現在、新しいリリースには直接的なパッチはありません |
| デバッグ-2.2.0 | NPM-534 | バージョン 2.6.9 以降にアップデートする |
| どんぐり-3.3.0 | NPM-1488 | バージョン 5.7.4、6.4.1、7.1.1 以降にアップグレードする |
| 瞬間-2.0.0 | 2017-18214CVE-2016-4055NPM-55NPM- | バージョン 2.19.3 以降にアップデートする |
| mime-1.3.6 | NPM-535 | バージョン 2.0.3 以降にアップデート |
| lodash.merge-4.6.0 | NPM-1067 -1066 | バージョン 4.6.2 以降にアップデートする |
| deap-1.0.0 | CVE-2018-3749 -611 | バージョン 1.0.1 以降にアップデート |
| うなり声-1.9.2 | NPM-146 | バージョン1.10.2以降にアップデート |
| is-my-json-valid-2.16.0 | NPM-572 | バージョン 1.4.1、2.17.2 以降にアップデート |
| オープン-0.0.5 | NPM-663 | open は非推奨の opn パッケージになりました。 API が大きく異なるため、最新バージョンにアップグレードすると望ましくない影響が生じる可能性がありますが、この脆弱性は回避されます。 |
| ws-1.1.2 | NPM-550 | バージョン 3.3.1 以降にアップデートする |
| バウアー-1.8.0 | NPM-776 | バージョン 1.8.8 以降にアップデート |
| concat-with-sourcemaps-1.0.4 | NPM-644 | バージョン1.0.6以降にアップデート |