Schwachstelle mit hohem Schweregrad
Geben Sie hier Ihr Problem an:
Führen Sie "npm audit" oder "npm install" mit nodemailer-mailgun-transport ^2.0.2 . aus
gibt mir:
"netmask npm-Paket anfällig für oktale Eingabedaten"
"gepatcht in >=2.0.1"
Netzmaske wird von bis zu 300.000 Live-Projekten verwendet. Sicherheitslücke, über die vor etwa zwei Tagen gemeldet wurde.
Hey, ich habe versucht, die package-lock.json
zu patchen, um eine NON-VULNERABLE-Version der Netzmaske zu verwenden - ich denke, es hat funktioniert? Lass mich wissen, was du gerade siehst :)
Sieht für mich in einem sauberen Checkout behoben aus + npm install
Ich sehe es immer noch in einem Produktionsprojekt bis yarn audit
, aber ich vermute, dass es noch nicht veröffentlicht wurde
@anachronic Ich habe in npm als 2.0.3
- https://www.npmjs.com/package/nodemailer-mailgun-transport
Anscheinend verwendet die Nodemailer-Mailgun-Transport-ID eine jetzt nicht offizielle Mailgun-Bibliothek? Ist das ein einfacher Wechsel zur "offiziellen" Version? Anscheinend sollte die richtige Abhängigkeit "mailgun.js" sein und dann wird die Sicherheitslücke gelindert (und hoffentlich bei zukünftigen Problemen geholfen). Diskussion hier: https://github.com/mailgun/mailgun-js/issues/122
Ja, ändern Sie einfach die Abhängigkeit und schreiben Sie das Code-Bit des Codes neu, der für die offizielle Bibliothek verwendet wird.
offizielles Plugin: https://www.npmjs.com/package/mailgun.js
veraltetes Plugin: https://www.npmjs.com/package/mailgun-js (es wird in den Mailgun-Dokumenten referenziert, daher die Verwirrung)
offiziell verwendet '...require=('mailgun.js) im Gegensatz zu ...require('mailgun-js')
Müde, aber ich hoffe, es war eine Tldr
@zhyrin denke mal, jemand muss etwas recherchieren, um zu sehen, wie viel Code neu geschrieben werden muss
nicht interessiert
@zhyrin denke mal, jemand muss etwas recherchieren, um zu sehen, wie viel Code neu geschrieben werden muss
Ist #104 keine Lösung dafür?
nicht interessiert
groß! zumindest sagst du ehrlich, wie du Open Source magst
Ist #104 keine Lösung dafür?
Lass mich mal sehen
Sieht aus, als ob die neueste Version der Mailgun immer noch angreifbar ist? https://snyk.io/advisor/npm-package/mailgun-js
@omerlh Wir haben auf den anderen aktualisiert - dieser ist veraltet
Welcher? Ich kann sehen, dass die neueste Version immer noch anfällig ist: https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport
Ich glaube, dass dies in master behoben ist (siehe #104), jedoch scheint 2.0.3 (letzte veröffentlichte Version) auf den letzten Commit vor dem Fix zu verweisen.
Obwohl ich mir nicht sicher bin, kann dies vielleicht durch die Veröffentlichung einer neuen Version gelöst werden?
@orliesaurus können wir basierend auf @anachronics Standpunkt eine neue Version erhalten?
Ja, ich muss auf jeden Fall das Update, das in Master ist, pushen! Danke euch allen!
Irgendeine Zeitleiste zu diesem Versionsstoß? Soll dieses Ticket geschlossen werden, bevor die neueste Version auf Master aktualisiert wird?