Gravité élevée
+1 à ce sujet, je l'ai reçu aujourd'hui et devra déployer un correctif pour la conformité dès que possible. Si personne n'a de bande passante, je peux essayer de sauter dessus la semaine prochaine.
+1 ici, j'aimerais obtenir ce correctif.
+1 ici, des solutions?
+1, solution ?
Il est fusionné (#1485) mais pas encore publié. Vous pouvez vous référer à https://snyk.io/vuln/SNYK-JS-AXIOS-174505.
Y a-t-il un plan pour faire une version incluant cela? Pouvons-nous faire quelque chose pour accélérer cela ?
J'aimerais également savoir s'il est prévu de publier une version avec le correctif.
gros +1
+1
Comme je l'ai mentionné au #1485, il serait peut-être préférable de cliquer sur le bouton Subscribe
pour ce problème au lieu de commenter avec un +1
🙂 De cette façon, vous serez averti sans créer de notifications ou d'e-mails pour tout le monde autre. Je sais que cela va apparaître pour de nombreux référentiels GitHub.
Quand ce problème sera-t-il résolu ? J'ai reçu des tonnes de courrier de github concernant axios.
J'ai aussi ce problème. Je n'y connais rien :'( quelqu'un m'aide svp !!
Appuyer sur le bouton "S'abonner" signifie l'attaque de spam à cause de personnes comme ^ ^
Oh, attendez un instant, maintenant je suis l'un d'entre eux :)
Les gars, veuillez cliquer sur ce bouton au lieu de laisser des commentaires inutiles
Pinging @nickuraltsev & @mzabriskie , voyant que @emilyemorehouse n'est plus répertorié sur npm en tant que collaborateur.
Selon le commentaire de @spilist , il semble que le correctif soit déjà fusionné (#1485). Pouvons-nous obtenir une version 0.19.0 ou 0.18.0.patch ?
Si vous devez vraiment trouver une solution pour votre équipe informatique et que vous êtes d'accord pour accepter le pourboire : npm install --save git://github.com/axios/axios.git#f28ff93
0.19.0 a un correctif et a été publié !
Étant donné que ce dépôt est antérieur à la v1, ce changement (et uniquement ce changement) aurait vraiment dû être publié sous forme de correctif ( 0.18.1
) afin que les applications dont la dépendance est définie sur ^0.18.0
puissent obtenir le patch automatiquement.
@ tybro0103 a accepté - Je prévois également de publier une version 0.18.1, mais je dois configurer une branche pour sélectionner le correctif, car ce projet a toujours été publié à partir de master
@emilyemorehouse Il semble qu'une fois que vous avez publié une version sur npm, vous ne pouvez pas la restaurer. Donc, si c'est vrai, vous devriez peut-être conserver la version 0.19.0 ou cela causerait plus de problèmes plus tard.
@emilyemorehouse Il semble qu'une fois que vous avez publié une version sur npm, vous ne pouvez pas la restaurer. Donc, si c'est vrai, vous devriez peut-être conserver la version 0.19.0 ou cela causerait plus de problèmes plus tard.
Ils peuvent déployer à la fois 0.19.0
et 0.18.1
.
Merci @emilyemorehouse et tout le monde ! Problème résolu !
Je l'ai corrigé depuis la mise à jour, merci @emilyemorehouse et tout le monde ! Pour que mes potes voient juste courir npm install axios<strong i="6">@latest</strong> --save
Merci pour la sortie !
Juste pour confirmer, une version de correctif va-t-elle être publiée, ou devons-nous utiliser la version 0.19.0
pour le correctif ?
Je ne veux pas m'empiler (désolé !) mais je suis également curieux de savoir 0.18.1
. On dirait que 0.19.0
apporte des changements de rupture pour nous. Nous cherchons à attendre le patch plutôt que d'essayer de mettre à niveau et de réparer la pause.
Je travaille activement sur 0.18.1
— en espérant qu'il sorte aujourd'hui !
Tu es le meilleur! Merci pour tout ce travail 🤗
Bonjour pardon pour mon ignorance, j'ai dans mon projet installé axios 0.18 et lorsque j'upload mon projet sur github je reçois l'alerte : " Nous avons trouvé une faille de sécurité potentielle dans l'une de vos dépendances ". quelle est la solution que vous avez réussi à trouver ici?
@FerCruzBanegas avec "axios": "^0.18"
vous devriez déjà tirer la version 0.18.1 qui a corrigé la vulnérabilité.
Si vous voulez vous assurer que vous pouvez le changer en "axios": "^0.18.1",
dans votre fichier package.json. Cela devrait faire disparaître l'avertissement
@vesper8 merci beaucoup maintenant je vais mettre à jour ma dépendance
mec, quelqu'un me dit comment mettre à jour mon "Axios! 13 jours n je n'ai toujours pas de code!"
mec, quelqu'un me dit comment mettre à jour mon "Axios! 13 jours n je n'ai toujours pas de code!"
le moyen le plus simple de résoudre la vulnérabilité sans modifier la fonctionnalité consiste à effectuer une mise à niveau de 0.18.0
vers 0.18.1
.
npm install [email protected]
ou
yarn add [email protected]
Commentaire le plus utile
Il est fusionné (#1485) mais pas encore publié. Vous pouvez vous référer à https://snyk.io/vuln/SNYK-JS-AXIOS-174505.