高危漏洞
在此处说明您的问题:
使用 nodemailer-mailgun-transport ^2.0.2 运行“npm audit”或“npm install”
给我:
“网络掩码 npm 包容易受到八进制输入数据的影响”
“修补> = 2.0.1”
多达 30 万个实时项目使用网络掩码。 大约两天前报告了漏洞。
嘿,我试图修补package-lock.json
以使用网络掩码的非易受攻击版本 - 我认为它有效吗? 让我知道你现在看到了什么:)
在干净的结帐中看起来固定 + npm install
我仍然通过yarn audit
在生产项目中看到它,不过,我怀疑它尚未发布
@anachronic我在 npm 中发布为2.0.3
- https://www.npmjs.com/package/nodemailer-mailgun-transport
显然 nodemailer-mailgun-transport id 使用现在非官方的 mailgun 库? 这是否可以轻松切换到“官方”版本? 似乎正确的依赖项应该是“mailgun.js”,然后这将减轻安全漏洞(并希望对未来的问题有所帮助)。 此处讨论: https :
@zhyrin猜测有人将不得不做一些研究以了解需要重写多少代码
没兴趣
@zhyrin猜测有人将不得不做一些研究以了解需要重写多少代码
#104 不是解决这个问题的方法吗?
没兴趣
伟大的! 至少你对你喜欢开源是诚实的
#104 不是解决这个问题的方法吗?
让我看一看
貌似最新版的邮件枪还是有漏洞的? https://snyk.io/advisor/npm-package/mailgun-js
@omerlh我们已升级到另一个 - 已弃用
哪一个? 我可以看到最新版本仍然存在漏洞: https :
我相信这已在 master 中解决(请参阅 #104),但是,2.0.3(发布的最新版本)似乎指向修复之前的最后一次提交。
虽然我不确定,也许发布新版本可以解决这个问题?
@orliesaurus我们可以根据@anachronic的观点获得新版本吗?
是的,我绝对需要推送 master 中的更新! 谢谢大家!
这个版本有什么时间表吗? 是否应该在最新版本更新为 master 之前关闭此票证?