Async: Vulnérabilité de gravité moyenne trouvée dans lodash

Créé le 4 févr. 2019 · 4Commentaires · Source: caolan/async

snyk signale une vulnérabilité de déni de service d'expression régulière sur l'une de vos dépendances, lodash 4.17.5 .

✗ Medium severity vulnerability found in lodash
  Description: Regular Expression Denial of Service (ReDoS)
  Info: https://snyk.io/vuln/SNYK-JS-LODASH-73639
  Introduced through: [email protected]
  From: [email protected] > [email protected]
  Remediation:
    Your dependencies are out of date, otherwise you would be using a newer version of lodash. 
    Try deleting node_modules, reinstalling and running `snyk test` again. If the problem persists, one of your dependencies may be bundling outdated modules.

Analyzing npm dependencies for package.json
Querying vulnerabilities database...
Tested 255 dependencies for known vulnerabilities, found 3 vulnerabilities, 23 vulnerable paths.

? 2 vulnerabilities introduced via [email protected]
- info: https://snyk.io/package/npm/async/2.6.1

Merci d'avance!

Source

dep

👍2

Commentaire le plus utile

La mise à jour de lodash n'a posé aucun problème, j'ai publié la v2.6.2 avec la mise à jour.

aearly le 12 févr. 2019

👍2 🎉1

Tous les 4 commentaires

Cogner

dscalzi le 8 févr. 2019

Nous n'utilisons pas cette méthode, elle ne s'applique donc pas à nous. Nous avons supprimé le lodash dans
v3.0. Je pense que nous avons eu quelques problèmes pour migrer ce mineur
version de lodash sur la ligne 2.x d'Async.

Le vendredi 8 février 2019 à 02h12, Daniel Scalzi < [email protected] a écrit :

Cogner
—
Vous recevez ceci parce que vous êtes abonné à ce fil.
Répondez directement à cet e-mail, consultez-le sur GitHub
https://github.com/caolan/async/issues/1620#issuecomment-461784127 , ou muet
le fil
https://github.com/notifications/unsubscribe-auth/AAiEbmULsTIq6AwY5RHZJNcM60O1Lw7tks5vLWmygaJpZM4ah0sH
.

aearly le 9 févr. 2019

👍1

Je pense qu'une simple mise à jour du patch ferait l'affaire.