Nodemailer-mailgun-transport: ضعف الخطورة في البرنامج المساعد netmask

تم إنشاؤها على ٣١ مارس ٢٠٢١  ·  17تعليقات  ·  مصدر: orliesaurus/nodemailer-mailgun-transport
  1. ما نوع المشكلة التي تبلغ عنها؟
  2. خطأ في مكون إضافي لـ nodemailer-mailgun-transport ^ 2.0.2 (ملحق قناع الشبكة)

  3. ضعف شديد الخطورة

  4. اذكر مشكلتك هنا:
    قم بتشغيل "تدقيق npm" أو "تثبيت npm" باستخدام nodemailer-mailgun-transport ^ 2.0.2
    يعطيني:
    "حزمة netmask npm عرضة لبيانات الإدخال الثماني"
    "مصححة> = 2.0.1"

يتم استخدام قناع الشبكة في ما يصل إلى 300 ألف مشروع مباشر. تم الإبلاغ عن الضعف منذ حوالي يومين.

picture zhyrin
👍6

ال 17 كومينتر

مرحبًا ، لقد حاولت تصحيح package-lock.json لاستخدام إصدار غير قابل للكسر من قناع الشبكة - أعتقد أنه نجح؟ اسمحوا لي أن أعرف ما تراه الآن :)

orliesaurus picture orliesaurus في ٦ أبريل ٢٠٢١

يبدو ثابتًا بالنسبة لي في عملية دفع نظيفة + npm install

ما زلت أراها في مشروع إنتاج من خلال yarn audit ، على الرغم من أنني أظن أنه لم يتم نشره

anachronic picture anachronic في ٦ أبريل ٢٠٢١

anachronic لقد نشرت في npm كـ 2.0.3 - https://www.npmjs.com/package/nodemailer-mailgun-transport

orliesaurus picture orliesaurus في ٨ أبريل ٢٠٢١

على ما يبدو ، معرّف نقل nodemailer-mailgun-transport باستخدام مكتبة mailgun غير رسمية الآن؟ هل هذا تبديل سهل للنسخة "الرسمية"؟ يبدو أن التبعية المناسبة يجب أن تكون "mailgun.js" وبعد ذلك سيخفف ذلك من الثغرة الأمنية (ونأمل أن يساعد في المشكلات المستقبلية). المناقشة هنا: https://github.com/mailgun/mailgun-js/issues/122

rfox12 picture rfox12 في ٩ أبريل ٢٠٢١
👍1

نعم ، فقط قم بتغيير التبعية وأعد كتابة جزء الكود من الكود المستخدم للمكتبة الرسمية.
المكون الإضافي الرسمي: https://www.npmjs.com/package/mailgun.js
المكون الإضافي المهمل: https://www.npmjs.com/package/mailgun-js (يشار إليه في مستندات mailgun ، ومن ثم الارتباك)

الاستخدامات الرسمية '... تتطلب = (' mailgun.js) بدلاً من ... تتطلب ('mailgun-js')

تعبت ، ولكن آمل أن تكون tldr

zhyrin picture zhyrin في ٩ أبريل ٢٠٢١
👍1

zhyrin تخمين أن شخصًا ما

orliesaurus picture orliesaurus في ١٠ أبريل ٢٠٢١

غير مهتم

zhyrin picture zhyrin في ١٢ أبريل ٢٠٢١
👎1

zhyrin تخمين أن شخصًا ما

أليس # 104 حلاً لهذا؟

anachronic picture anachronic في ١٢ أبريل ٢٠٢١
👍1

غير مهتم

رائعة! على الأقل أنت صريح بشأن الطريقة التي تحبها من المصادر المفتوحة

orliesaurus picture orliesaurus في ١٢ أبريل ٢٠٢١
👍1

أليس # 104 حلاً لهذا؟

دعني ألقي نظرة

orliesaurus picture orliesaurus في ١٢ أبريل ٢٠٢١

يبدو أن أحدث إصدار من مسدس البريد لا يزال عرضة للخطر؟ https://snyk.io/advisor/npm-package/mailgun-js

omerlh picture omerlh في ٤ مايو ٢٠٢١

omerlh لقد قمنا بالترقية إلى الآخر - هذا واحد مهمل

orliesaurus picture orliesaurus في ٤ مايو ٢٠٢١

أي واحد؟ يمكنني رؤية أحدث إصدار لا يزال عرضة للخطر: https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport

omerlh picture omerlh في ٥ مايو ٢٠٢١

أعتقد أن هذا قد تم حله بشكل رئيسي (انظر # 104) ، ومع ذلك ، يبدو أن 2.0.3 (الإصدار الأخير المنشور) يشير إلى آخر التزام قبل الإصلاح.

على الرغم من أنني لست متأكدًا ، فربما يؤدي نشر إصدار جديد إلى حل هذا الأمر؟

anachronic picture anachronic في ٦ مايو ٢٠٢١

orliesaurus هل يمكننا الحصول على إصدار جديد بناءً على وجهة نظر anachronic ؟

shawncarr picture shawncarr في ٦ مايو ٢٠٢١

نعم ، أنا بالتأكيد بحاجة إلى دفع التحديث الرئيسي! شكرا لكم جميعا!

orliesaurus picture orliesaurus في ٦ مايو ٢٠٢١

أي جدول زمني على هذا الإصدار نتوء؟ هل يجب إغلاق هذه التذكرة قبل تحديث أحدث إصدار لإتقانها؟

axelauvinen picture axelauvinen في ٧ مايو ٢٠٢١
👍1
هل كانت هذه الصفحة مفيدة؟
0 / 5 - 0 التقييمات

القضايا ذات الصلة

WillSquire picture WillSquire  ·  11تعليقات
zsitro picture zsitro  ·  3تعليقات
ghost picture ghost  ·  3تعليقات
thalesfsp picture thalesfsp  ·  3تعليقات
AaronAcerboni picture AaronAcerboni  ·  3تعليقات