hexo-tag-google-photos-album をアップデートした

metascraperにおけるXSS対応と、その影響

自作のHexo向けプラグインであるhexo-tag-google-photos-albumでは、metascraperというnpmライブラリを利用しています。
Google Photosの共有リンクから辿って、いくつかのメタデータを抽出するためです。

そのmetascraperで、XSS脆弱性の報告がありました。（現時点では修正対応済）

その解決に伴い、hexo-tag-google-photos-albumでは、修正済みバージョンを利用するように、修正をしました。

metascraperのGitHubリポジトリにおけるイシュー
- NPM Reporting as CSS Vulnerability #153
- Add escape parameter to escape html data by default #168
npmのセキュリティ勧告
- Cross-Site Scripting metascraper
報告の元になったレポート
- [metascraper] Stored XSS in Open Graph meta properties read by metascrapper hackerone.com #309367
isnot/hexo-tag-google-photos-album 修正の差分
- metascraper up to @5.4.2 #02366cc

修正後の確認

hexo-tag-google-photos-album$ npm audit

                       === npm audit security report ===

found 0 vulnerabilities
 in 2702 scanned packages

(snip)

blog$ npm view hexo-tag-google-photos-album version
1.0.5
blog$ hexo clean
(node:29044) [DEP0061] DeprecationWarning: fs.SyncWriteStream is deprecated.
INFO  Deleted database.
INFO  Deleted public folder.

特に問題なし。

hexo-tag-google-photos-album をアップデートしたについて、 GitHubでコメントする