ضعف شديد الخطورة
اذكر مشكلتك هنا:
قم بتشغيل "تدقيق npm" أو "تثبيت npm" باستخدام nodemailer-mailgun-transport ^ 2.0.2
يعطيني:
"حزمة netmask npm عرضة لبيانات الإدخال الثماني"
"مصححة> = 2.0.1"
يتم استخدام قناع الشبكة في ما يصل إلى 300 ألف مشروع مباشر. تم الإبلاغ عن الضعف منذ حوالي يومين.
مرحبًا ، لقد حاولت تصحيح package-lock.json
لاستخدام إصدار غير قابل للكسر من قناع الشبكة - أعتقد أنه نجح؟ اسمحوا لي أن أعرف ما تراه الآن :)
يبدو ثابتًا بالنسبة لي في عملية دفع نظيفة + npm install
ما زلت أراها في مشروع إنتاج من خلال yarn audit
، على الرغم من أنني أظن أنه لم يتم نشره
anachronic لقد نشرت في npm كـ 2.0.3
- https://www.npmjs.com/package/nodemailer-mailgun-transport
على ما يبدو ، معرّف نقل nodemailer-mailgun-transport باستخدام مكتبة mailgun غير رسمية الآن؟ هل هذا تبديل سهل للنسخة "الرسمية"؟ يبدو أن التبعية المناسبة يجب أن تكون "mailgun.js" وبعد ذلك سيخفف ذلك من الثغرة الأمنية (ونأمل أن يساعد في المشكلات المستقبلية). المناقشة هنا: https://github.com/mailgun/mailgun-js/issues/122
نعم ، فقط قم بتغيير التبعية وأعد كتابة جزء الكود من الكود المستخدم للمكتبة الرسمية.
المكون الإضافي الرسمي: https://www.npmjs.com/package/mailgun.js
المكون الإضافي المهمل: https://www.npmjs.com/package/mailgun-js (يشار إليه في مستندات mailgun ، ومن ثم الارتباك)
الاستخدامات الرسمية '... تتطلب = (' mailgun.js) بدلاً من ... تتطلب ('mailgun-js')
تعبت ، ولكن آمل أن تكون tldr
zhyrin تخمين أن شخصًا ما
غير مهتم
zhyrin تخمين أن شخصًا ما
أليس # 104 حلاً لهذا؟
غير مهتم
رائعة! على الأقل أنت صريح بشأن الطريقة التي تحبها من المصادر المفتوحة
أليس # 104 حلاً لهذا؟
دعني ألقي نظرة
يبدو أن أحدث إصدار من مسدس البريد لا يزال عرضة للخطر؟ https://snyk.io/advisor/npm-package/mailgun-js
omerlh لقد قمنا بالترقية إلى الآخر - هذا واحد مهمل
أي واحد؟ يمكنني رؤية أحدث إصدار لا يزال عرضة للخطر: https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport
أعتقد أن هذا قد تم حله بشكل رئيسي (انظر # 104) ، ومع ذلك ، يبدو أن 2.0.3 (الإصدار الأخير المنشور) يشير إلى آخر التزام قبل الإصلاح.
على الرغم من أنني لست متأكدًا ، فربما يؤدي نشر إصدار جديد إلى حل هذا الأمر؟
orliesaurus هل يمكننا الحصول على إصدار جديد بناءً على وجهة نظر anachronic ؟
نعم ، أنا بالتأكيد بحاجة إلى دفع التحديث الرئيسي! شكرا لكم جميعا!
أي جدول زمني على هذا الإصدار نتوء؟ هل يجب إغلاق هذه التذكرة قبل تحديث أحدث إصدار لإتقانها؟