Async: Vulnerabilidad de gravedad media encontrada en lodash

Creado en 4 feb. 2019 · 4Comentarios · Fuente: caolan/async

snyk informa de una vulnerabilidad de denegación de servicio de expresión regular en una de sus dependencias, lodash 4.17.5 .

✗ Medium severity vulnerability found in lodash
  Description: Regular Expression Denial of Service (ReDoS)
  Info: https://snyk.io/vuln/SNYK-JS-LODASH-73639
  Introduced through: [email protected]
  From: [email protected] > [email protected]
  Remediation:
    Your dependencies are out of date, otherwise you would be using a newer version of lodash. 
    Try deleting node_modules, reinstalling and running `snyk test` again. If the problem persists, one of your dependencies may be bundling outdated modules.

Analyzing npm dependencies for package.json
Querying vulnerabilities database...
Tested 255 dependencies for known vulnerabilities, found 3 vulnerabilities, 23 vulnerable paths.

? 2 vulnerabilities introduced via [email protected]
- info: https://snyk.io/package/npm/async/2.6.1

¡Gracias por adelantado!

Fuente

dep

👍2

Comentario más útil

Actualizar lodash no fue un problema, publiqué v2.6.2 con la actualización.

aearly en 12 feb. 2019

👍2 🎉1

Todos 4 comentarios

Protuberancia

dscalzi en 8 feb. 2019

No usamos ese método, por lo que no se aplica a nosotros. Eliminamos lodash en
v3.0. Creo que hubo algunos problemas para que migráramos ese menor
versión de lodash en la línea 2.x de Async.

El viernes 8 de febrero de 2019 a las 2:12 a. m., Daniel Scalzi < [email protected] escribió:

Protuberancia
—
Estás recibiendo esto porque estás suscrito a este hilo.
Responda a este correo electrónico directamente, véalo en GitHub
https://github.com/caolan/async/issues/1620#issuecomment-461784127 , o silenciar
la amenaza
https://github.com/notifications/unsubscribe-auth/AAiEbmULsTIq6AwY5RHZJNcM60O1Lw7tks5vLWmygaJpZM4ah0sH
.

aearly en 9 feb. 2019

👍1

Creo que una simple actualización de parche haría el truco.