Vulnerabilidad de alta gravedad
Indique su problema aquí:
Ejecute "npm audit" o "npm install" con nodemailer-mailgun-transport ^ 2.0.2
me da:
"paquete netmask npm vulnerable a datos de entrada octal"
"parcheado en> = 2.0.1"
La máscara de red es utilizada por hasta 300k proyectos en vivo. Vulnerabilidad informada hace unos dos días.
Oye, intenté parchear el package-lock.json
para usar una versión NO VULNERABLE de la máscara de red. ¿Creo que funcionó? Déjame saber lo que estás viendo ahora :)
Me parece arreglado en una caja limpia + npm install
Todavía lo veo en un proyecto de producción a través de yarn audit
, aunque sospecho que no se ha publicado
@anachronic publiqué en npm como 2.0.3
- https://www.npmjs.com/package/nodemailer-mailgun-transport
Aparentemente, ¿la identificación de nodemailer-mailgun-transport usa una biblioteca de mailgun que ahora no es oficial? ¿Es este un cambio fácil a la versión "oficial"? Parece que la dependencia adecuada debería ser "mailgun.js" y eso aliviará la vulnerabilidad de seguridad (y, con suerte, ayudará para problemas futuros). Discusión aquí: https://github.com/mailgun/mailgun-js/issues/122
Sí, simplemente cambie la dependencia y reescriba el bit de código que se usa para la biblioteca oficial.
complemento oficial: https://www.npmjs.com/package/mailgun.js
complemento obsoleto: https://www.npmjs.com/package/mailgun-js (se hace referencia en los documentos de mailgun, de ahí la confusión)
usos oficiales '... require = (' mailgun.js) en lugar de ... require ('mailgun-js')
Cansado, pero espero que sea un tldr
@zhyrin supongo que alguien tendrá que investigar un poco para ver cuánta reescritura de código se necesita
no interesado
@zhyrin supongo que alguien tendrá que investigar un poco para ver cuánta reescritura de código se necesita
¿El # 104 no es una solución para esto?
no interesado
¡estupendo! al menos eres honesto acerca de cómo te gusta el código abierto
¿El # 104 no es una solución para esto?
Déjame ver
¿Parece que la última versión de Mail Gun sigue siendo vulnerable? https://snyk.io/advisor/npm-package/mailgun-js
@omerlh Hemos actualizado al otro, ese está en desuso
¿Cuál? Puedo ver que la última versión sigue siendo vulnerable: https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport
Creo que esto se resuelve en master (ver # 104), sin embargo, 2.0.3 (última versión publicada) parece apuntar a la última confirmación antes de la corrección.
Aunque no estoy seguro, ¿tal vez publicar una nueva versión resuelva esto?
@orliesaurus ¿podemos obtener un nuevo lanzamiento basado en el punto de @anachronic ?
¡Sí, definitivamente necesito impulsar la actualización que está en el maestro! ¡Gracias a todos!
¿Alguna línea de tiempo sobre este salto de versión? ¿Debería cerrarse este ticket antes de que la última versión se actualice a master?