【Laravel】【PHP】「laravel-mix」が依存している「webpack-dev-server」で「high severity vulnerability」と言われた場合の手順
以下の環境で発生しましたので、対応方法メモ。
- Laravel 5.6.39
- Laradock
- composerからcreate projectした
ログ
found 1 high severity vulnerability run `npm audit fix` to fix them, or `npm audit` for details
$ npm audit
root@1f443744df67:/var/www# npm audit
=== npm audit security report ===
# Run npm install --save-dev laravel-mix@4.0.14 to resolve 1 vulnerability
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High │ Missing Origin Validation │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package │ webpack-dev-server │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ laravel-mix [dev] │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path │ laravel-mix > webpack-dev-server │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info │ https://nodesecurity.io/advisories/725 │
└───────────────┴──────────────────────────────────────────────────────────────┘
found 1 high severity vulnerability in 11836 scanned packages
1 vulnerability requires semver-major dependency updates.
laravel-mixが参照しているwebpack-dev-server が脆弱性があるバージョンになっているようです。
package.json
"laravel-mix": "^2.0
auditが教えてくれる通りに実行
$ npm install --save laravel-mix@4.0.14 + laravel-mix@4.0.14 updated 1 package and audited 14844 packages in 34.812s found 0 vulnerabilities
問題なくなりました。
package.json
"laravel-mix": "^4.0.14",
Laravelのバージョンに寄っては発生しないかも。
