Nodemailer-mailgun-transport: Sicherheitslücke mit hohem Schweregrad im Netzmasken-Plugin
- Was für ein Problem melden Sie?
- Ein Fehler in einem Plugin von nodemailer-mailgun-transport ^2.0.2 (Netzmasken-Plugin)
Schwachstelle mit hohem Schweregrad
Geben Sie hier Ihr Problem an:
Führen Sie "npm audit" oder "npm install" mit nodemailer-mailgun-transport ^2.0.2 . aus
gibt mir:
"netmask npm-Paket anfällig für oktale Eingabedaten"
"gepatcht in >=2.0.1"
Netzmaske wird von bis zu 300.000 Live-Projekten verwendet. Sicherheitslücke, über die vor etwa zwei Tagen gemeldet wurde.
zhyrin
Alle 17 Kommentare
Hey, ich habe versucht, die package-lock.json zu patchen, um eine NON-VULNERABLE-Version der Netzmaske zu verwenden - ich denke, es hat funktioniert? Lass mich wissen, was du gerade siehst :)
orliesaurus
am 6. Apr. 2021
Sieht für mich in einem sauberen Checkout behoben aus + npm install
Ich sehe es immer noch in einem Produktionsprojekt bis yarn audit , aber ich vermute, dass es noch nicht veröffentlicht wurde
anachronic
am 6. Apr. 2021
@anachronic Ich habe in npm als 2.0.3 - https://www.npmjs.com/package/nodemailer-mailgun-transport
orliesaurus
am 8. Apr. 2021
Anscheinend verwendet die Nodemailer-Mailgun-Transport-ID eine jetzt nicht offizielle Mailgun-Bibliothek? Ist das ein einfacher Wechsel zur "offiziellen" Version? Anscheinend sollte die richtige Abhängigkeit "mailgun.js" sein und dann wird die Sicherheitslücke gelindert (und hoffentlich bei zukünftigen Problemen geholfen). Diskussion hier: https://github.com/mailgun/mailgun-js/issues/122
rfox12
am 9. Apr. 2021
Ja, ändern Sie einfach die Abhängigkeit und schreiben Sie das Code-Bit des Codes neu, der für die offizielle Bibliothek verwendet wird.
offizielles Plugin: https://www.npmjs.com/package/mailgun.js
veraltetes Plugin: https://www.npmjs.com/package/mailgun-js (es wird in den Mailgun-Dokumenten referenziert, daher die Verwirrung)
offiziell verwendet '...require=('mailgun.js) im Gegensatz zu ...require('mailgun-js')
Müde, aber ich hoffe, es war eine Tldr
zhyrin
am 9. Apr. 2021
@zhyrin denke mal, jemand muss etwas recherchieren, um zu sehen, wie viel Code neu geschrieben werden muss
orliesaurus
am 10. Apr. 2021
nicht interessiert
zhyrin
am 12. Apr. 2021
@zhyrin denke mal, jemand muss etwas recherchieren, um zu sehen, wie viel Code neu geschrieben werden muss
Ist #104 keine Lösung dafür?
anachronic
am 12. Apr. 2021
nicht interessiert
groß! zumindest sagst du ehrlich, wie du Open Source magst
orliesaurus
am 12. Apr. 2021
Ist #104 keine Lösung dafür?
Lass mich mal sehen
orliesaurus
am 12. Apr. 2021
Sieht aus, als ob die neueste Version der Mailgun immer noch angreifbar ist? https://snyk.io/advisor/npm-package/mailgun-js
omerlh
am 4. Mai 2021
@omerlh Wir haben auf den anderen aktualisiert - dieser ist veraltet
orliesaurus
am 4. Mai 2021
Welcher? Ich kann sehen, dass die neueste Version immer noch anfällig ist: https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport
omerlh
am 5. Mai 2021
Ich glaube, dass dies in master behoben ist (siehe #104), jedoch scheint 2.0.3 (letzte veröffentlichte Version) auf den letzten Commit vor dem Fix zu verweisen.
Obwohl ich mir nicht sicher bin, kann dies vielleicht durch die Veröffentlichung einer neuen Version gelöst werden?
anachronic
am 6. Mai 2021
@orliesaurus können wir basierend auf @anachronics Standpunkt eine neue Version erhalten?
shawncarr
am 6. Mai 2021
Ja, ich muss auf jeden Fall das Update, das in Master ist, pushen! Danke euch allen!
orliesaurus
am 6. Mai 2021
Irgendeine Zeitleiste zu diesem Versionsstoß? Soll dieses Ticket geschlossen werden, bevor die neueste Version auf Master aktualisiert wird?
axelauvinen
am 7. Mai 2021
Verwandte Themen
WillSquire
·
11Kommentare
akshaysrin
·
3Kommentare
juriansluiman
·
3Kommentare
exortech
·
3Kommentare
kojilab
·
3Kommentare