Nodemailer-mailgun-transport: 网络掩码插件中的高危漏洞

创建于 2021-03-31 · 17评论 · 资料来源: orliesaurus/nodemailer-mailgun-transport

你要报告什么样的问题？
nodemailer-mailgun-transport ^2.0.2（网络掩码插件）插件中的一个错误
高危漏洞
在此处说明您的问题：
使用 nodemailer-mailgun-transport ^2.0.2 运行“npm audit”或“npm install”
给我：
“网络掩码 npm 包容易受到八进制输入数据的影响”
“修补> = 2.0.1”

多达 30 万个实时项目使用网络掩码。大约两天前报告了漏洞。

资料来源

zhyrin

👍6

所有17条评论

嘿，我试图修补package-lock.json以使用网络掩码的非易受攻击版本 - 我认为它有效吗？让我知道你现在看到了什么:)

orliesaurus 于 2021-04-06

在干净的结帐中看起来固定 + npm install

我仍然通过yarn audit在生产项目中看到它，不过，我怀疑它尚未发布

anachronic 于 2021-04-06

@anachronic我在 npm 中发布为2.0.3 - https://www.npmjs.com/package/nodemailer-mailgun-transport

orliesaurus 于 2021-04-08

显然 nodemailer-mailgun-transport id 使用现在非官方的 mailgun 库？这是否可以轻松切换到“官方”版本？似乎正确的依赖项应该是“mailgun.js”，然后这将减轻安全漏洞（并希望对未来的问题有所帮助）。此处讨论： https :

rfox12 于 2021-04-09

👍1

是的，只需更改依赖项并重写用于官方库的代码位。
官方插件： https :
不推荐使用的插件： https ://www.npmjs.com/package/mailgun-js（它在 mailgun 文档中被引用，因此混淆）

官方使用 '...require=('mailgun.js) 而不是 ...require('mailgun-js')

累了，但希望它是一个 tldr

zhyrin 于 2021-04-09

👍1

@zhyrin猜测有人将不得不做一些研究以了解需要重写多少代码

orliesaurus 于 2021-04-10

没兴趣

zhyrin 于 2021-04-12

👎1

@zhyrin猜测有人将不得不做一些研究以了解需要重写多少代码

#104 不是解决这个问题的方法吗？

anachronic 于 2021-04-12

👍1

没兴趣

伟大的！至少你对你喜欢开源是诚实的

orliesaurus 于 2021-04-12

👍1

#104 不是解决这个问题的方法吗？

让我看一看

orliesaurus 于 2021-04-12

貌似最新版的邮件枪还是有漏洞的？ https://snyk.io/advisor/npm-package/mailgun-js

omerlh 于 2021-05-04

@omerlh我们已升级到另一个 - 已弃用

orliesaurus 于 2021-05-04

哪一个？我可以看到最新版本仍然存在漏洞： https :

omerlh 于 2021-05-05

我相信这已在 master 中解决（请参阅 #104），但是，2.0.3（发布的最新版本）似乎指向修复之前的最后一次提交。

虽然我不确定，也许发布新版本可以解决这个问题？

anachronic 于 2021-05-06

@orliesaurus我们可以根据@anachronic的观点获得新版本吗？

shawncarr 于 2021-05-06

是的，我绝对需要推送 master 中的更新！谢谢大家！

orliesaurus 于 2021-05-06

这个版本有什么时间表吗？是否应该在最新版本更新为 master 之前关闭此票证？

axelauvinen 于 2021-05-07

👍1

此页面是否有帮助？

0 / 5 - 0 等级

Nodemailer-mailgun-transport: 网络掩码插件中的高危漏洞

所有17条评论

相关问题