Axios: Vulnérabilité trouvée

+1 à ce sujet, je l'ai reçu aujourd'hui et devra déployer un correctif pour la conformité dès que possible. Si personne n'a de bande passante, je peux essayer de sauter dessus la semaine prochaine.

+1 ici, j'aimerais obtenir ce correctif.

+1 ici, des solutions?

+1, solution ?

Il est fusionné (#1485) mais pas encore publié. Vous pouvez vous référer à https://snyk.io/vuln/SNYK-JS-AXIOS-174505.

Y a-t-il un plan pour faire une version incluant cela? Pouvons-nous faire quelque chose pour accélérer cela ?

J'aimerais également savoir s'il est prévu de publier une version avec le correctif.

gros +1

+1

Comme je l'ai mentionné au #1485, il serait peut-être préférable de cliquer sur le bouton Subscribe pour ce problème au lieu de commenter avec un +1 🙂 De cette façon, vous serez averti sans créer de notifications ou d'e-mails pour tout le monde autre. Je sais que cela va apparaître pour de nombreux référentiels GitHub.

Quand ce problème sera-t-il résolu ? J'ai reçu des tonnes de courrier de github concernant axios.

J'ai aussi ce problème. Je n'y connais rien :'( quelqu'un m'aide svp !!

Appuyer sur le bouton "S'abonner" signifie l'attaque de spam à cause de personnes comme ^ ^

Oh, attendez un instant, maintenant je suis l'un d'entre eux :)

Les gars, veuillez cliquer sur ce bouton au lieu de laisser des commentaires inutiles

Pinging @nickuraltsev & @mzabriskie , voyant que @emilyemorehouse n'est plus répertorié sur npm en tant que collaborateur.

Selon le commentaire de @spilist , il semble que le correctif soit déjà fusionné (#1485). Pouvons-nous obtenir une version 0.19.0 ou 0.18.0.patch ?

Si vous devez vraiment trouver une solution pour votre équipe informatique et que vous êtes d'accord pour accepter le pourboire : npm install --save git://github.com/axios/axios.git#f28ff93

0.19.0 a un correctif et a été publié !

Étant donné que ce dépôt est antérieur à la v1, ce changement (et uniquement ce changement) aurait vraiment dû être publié sous forme de correctif ( 0.18.1 ) afin que les applications dont la dépendance est définie sur ^0.18.0 puissent obtenir le patch automatiquement.

@ tybro0103 a accepté - Je prévois également de publier une version 0.18.1, mais je dois configurer une branche pour sélectionner le correctif, car ce projet a toujours été publié à partir de master

@emilyemorehouse Il semble qu'une fois que vous avez publié une version sur npm, vous ne pouvez pas la restaurer. Donc, si c'est vrai, vous devriez peut-être conserver la version 0.19.0 ou cela causerait plus de problèmes plus tard.

@emilyemorehouse Il semble qu'une fois que vous avez publié une version sur npm, vous ne pouvez pas la restaurer. Donc, si c'est vrai, vous devriez peut-être conserver la version 0.19.0 ou cela causerait plus de problèmes plus tard.

Ils peuvent déployer à la fois 0.19.0 et 0.18.1 .

Merci @emilyemorehouse et tout le monde ! Problème résolu !

Je l'ai corrigé depuis la mise à jour, merci @emilyemorehouse et tout le monde ! Pour que mes potes voient juste courir npm install axios<strong i="6">@latest</strong> --save

Merci pour la sortie !

Juste pour confirmer, une version de correctif va-t-elle être publiée, ou devons-nous utiliser la version 0.19.0 pour le correctif ?

Je ne veux pas m'empiler (désolé !) mais je suis également curieux de savoir 0.18.1 . On dirait que 0.19.0 apporte des changements de rupture pour nous. Nous cherchons à attendre le patch plutôt que d'essayer de mettre à niveau et de réparer la pause.

Je travaille activement sur 0.18.1 — en espérant qu'il sorte aujourd'hui !

Tu es le meilleur! Merci pour tout ce travail 🤗

Bonjour pardon pour mon ignorance, j'ai dans mon projet installé axios 0.18 et lorsque j'upload mon projet sur github je reçois l'alerte : " Nous avons trouvé une faille de sécurité potentielle dans l'une de vos dépendances ". quelle est la solution que vous avez réussi à trouver ici?

@FerCruzBanegas avec "axios": "^0.18" vous devriez déjà tirer la version 0.18.1 qui a corrigé la vulnérabilité.

Si vous voulez vous assurer que vous pouvez le changer en "axios": "^0.18.1", dans votre fichier package.json. Cela devrait faire disparaître l'avertissement

@vesper8 merci beaucoup maintenant je vais mettre à jour ma dépendance

mec, quelqu'un me dit comment mettre à jour mon "Axios! 13 jours n je n'ai toujours pas de code!"

mec, quelqu'un me dit comment mettre à jour mon "Axios! 13 jours n je n'ai toujours pas de code!"

le moyen le plus simple de résoudre la vulnérabilité sans modifier la fonctionnalité consiste à effectuer une mise à niveau de 0.18.0 vers 0.18.1 .

npm install [email protected]

ou

yarn add [email protected]