IT之家 12 月 21 日新闻，有赞开源组件库 Vant 保护者于 12 月 19 日在 GitHub 宣布布告，表现因为此中一位团队成员的 npm token 被盗用，并注入了歹意剧本代码，官方紧迫放弃了多个受影响版本，宣布了最新版本。招致成绩起因保护者表现：泉源是某个 GitHub Actions workflow 存在 Pwn Request 破绽，位于另一个 GitHub 构造。Vant 跟 Rspack 地点的构造以及保护者是被直接攻打的，自身不存在破绽。攻打者拿到了该 workflow 中的 token 后，应用该 token 存在的多构造奉献权限，直接 push 代码持续盗取其余 GitHub 构造 workflows 中的 token，终极拿到 Vant 与 Rspack 的 npm token。现在相干 token 跟泉源 workflow 破绽曾经全体处置。最新版本官方现在紧迫放弃了以下异样版本，请勿应用：4.9.144.9.134.9.124.9.113.6.153.6.143.6.132.13.52.13.42.13.3官方团队宣布了保险的新版本，npm latest tag 曾经指向新版本：4.9.153.6.162.13.6有赞开源组件库 Vant 简介IT之家查问公然材料，Vant 是由有赞前端团队开辟跟保护的轻量、牢靠的挪动端 Vue 组件库，供给了一整套 UI 基本组件跟营业组件，重要辅助开辟者疾速搭建出作风同一的挪动端页面，并晋升开辟效力。该组件于 2017 年开源，官方供给了 Vue 2 版本、Vue 3 版本跟微信小顺序版本，并由社区团队保护 React 版本跟付出宝小顺序版本。告白申明：文内含有的对外跳转链接（包含不限于超链接、二维码、口令等情势），用于通报更多信息，节俭甄选时光，成果仅供参考，IT之家全部文章均包括本申明。 ]article_adlist--> 　　申明：新浪网独家稿件，未经受权制止转载。 -->