Nodemailer-mailgun-transport: vulnerabilidad de alta gravedad en el complemento de máscara de red
- ¿Qué tipo de problema está informando?
- Un error en un complemento de nodemailer-mailgun-transport ^ 2.0.2 (complemento de máscara de red)
Vulnerabilidad de alta gravedad
Indique su problema aquí:
Ejecute "npm audit" o "npm install" con nodemailer-mailgun-transport ^ 2.0.2
me da:
"paquete netmask npm vulnerable a datos de entrada octal"
"parcheado en> = 2.0.1"
La máscara de red es utilizada por hasta 300k proyectos en vivo. Vulnerabilidad informada hace unos dos días.
zhyrin
Todos 17 comentarios
Oye, intenté parchear el package-lock.json para usar una versión NO VULNERABLE de la máscara de red. ¿Creo que funcionó? Déjame saber lo que estás viendo ahora :)
orliesaurus
en 6 abr. 2021
Me parece arreglado en una caja limpia + npm install
Todavía lo veo en un proyecto de producción a través de yarn audit , aunque sospecho que no se ha publicado
anachronic
en 6 abr. 2021
@anachronic publiqué en npm como 2.0.3 - https://www.npmjs.com/package/nodemailer-mailgun-transport
orliesaurus
en 8 abr. 2021
Aparentemente, ¿la identificación de nodemailer-mailgun-transport usa una biblioteca de mailgun que ahora no es oficial? ¿Es este un cambio fácil a la versión "oficial"? Parece que la dependencia adecuada debería ser "mailgun.js" y eso aliviará la vulnerabilidad de seguridad (y, con suerte, ayudará para problemas futuros). Discusión aquí: https://github.com/mailgun/mailgun-js/issues/122
rfox12
en 9 abr. 2021
Sí, simplemente cambie la dependencia y reescriba el bit de código que se usa para la biblioteca oficial.
complemento oficial: https://www.npmjs.com/package/mailgun.js
complemento obsoleto: https://www.npmjs.com/package/mailgun-js (se hace referencia en los documentos de mailgun, de ahí la confusión)
usos oficiales '... require = (' mailgun.js) en lugar de ... require ('mailgun-js')
Cansado, pero espero que sea un tldr
zhyrin
en 9 abr. 2021
@zhyrin supongo que alguien tendrá que investigar un poco para ver cuánta reescritura de código se necesita
orliesaurus
en 10 abr. 2021
no interesado
zhyrin
en 12 abr. 2021
@zhyrin supongo que alguien tendrá que investigar un poco para ver cuánta reescritura de código se necesita
¿El # 104 no es una solución para esto?
anachronic
en 12 abr. 2021
no interesado
¡estupendo! al menos eres honesto acerca de cómo te gusta el código abierto
orliesaurus
en 12 abr. 2021
¿El # 104 no es una solución para esto?
Déjame ver
orliesaurus
en 12 abr. 2021
¿Parece que la última versión de Mail Gun sigue siendo vulnerable? https://snyk.io/advisor/npm-package/mailgun-js
omerlh
en 4 may. 2021
@omerlh Hemos actualizado al otro, ese está en desuso
orliesaurus
en 4 may. 2021
¿Cuál? Puedo ver que la última versión sigue siendo vulnerable: https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport
omerlh
en 5 may. 2021
Creo que esto se resuelve en master (ver # 104), sin embargo, 2.0.3 (última versión publicada) parece apuntar a la última confirmación antes de la corrección.
Aunque no estoy seguro, ¿tal vez publicar una nueva versión resuelva esto?
anachronic
en 6 may. 2021
@orliesaurus ¿podemos obtener un nuevo lanzamiento basado en el punto de @anachronic ?
shawncarr
en 6 may. 2021
¡Sí, definitivamente necesito impulsar la actualización que está en el maestro! ¡Gracias a todos!
orliesaurus
en 6 may. 2021
¿Alguna línea de tiempo sobre este salto de versión? ¿Debería cerrarse este ticket antes de que la última versión se actualice a master?
axelauvinen
en 7 may. 2021
Temas relacionados
WillSquire
·
11Comentarios
thalesfsp
·
3Comentarios
danieljack
·
3Comentarios
zsitro
·
3Comentarios
devfrey
·
3Comentarios