dify修复漏洞 React 和 Next.js 中的严重远程代码执行漏洞

修复方案

QQ_1765362228880
上面这段可以了理解为以 15.0.x修复方案为例子
15.0.1 不安全
15.0.2 不安全
15.0.3 不安全
15.0.4 不安全
15.0.5 安全
15.0.6 不安全
以此类推

1.进入 /opt/app/dify/web 下查看 package.json 是否命中, 这边以"react": "19.1.2"和 "next": "~15.3.6"为例子,如果是不安全的,将版本号修改为对应安全的

QQ_1765360353823

3.删除同级目录下的 pnpm-lock.yaml文件,准备使用 pnpm install 重新生成 pnpm-lock.yaml 文件 rm -rf pnpm-lock.yaml

QQ_1765360648504
QQ_1765363720040

4.如果没有pnpm 命令,执行以下步骤,或者执行pnpm -v 出现版本号直接跳过这一步

# 一键脚本(官方推荐,自带最新版)
curl -fsSL https://get.pnpm.io/install.sh | sh -
 
# 装完后把 pnpm 加入 PATH
export PNPM_HOME="$HOME/.local/share/pnpm"
export PATH="$PNPM_HOME:$PATH"
 
# 出现版本号即可
pnpm -v

5.然后执行 npm install , 然后可能会失败,失败了也不用管。主要是需要生成 pnpm-lock.yaml 这个文件

QQ_1765360809186

6. 再次查看发现已经重新生成了 pnpm-lock.yaml 这个文件

QQ_1765360848194

7.修改/opt/app/dify/docker 下的 docker-compose.yaml 文件的657行左右,让他从新从web目录构建镜像,

    #image: langgenius/dify-web:1.8.0  原来的注释掉即可
    build: ../web

QQ_1765361164364

8.再次启动即可,进入 /opt/app/dify/docker 启动 docker compose up -d

QQ_1765360928127

9.执行时间较长,耐心等待即可,执行完后使用 docker ps 查看容器是否全部起来

QQ_1765363961569

9.全部起来后,进入 docker-web-1 容器验证

docker exec -it docker-web-1 sh

npm list next

npm list react

QQ_1765362638216
QQ_1765362713228

posted @ 2025-12-10 18:08  六月OvO  阅读(121)  评论(0)    收藏  举报