Vulnérabilité de gravité élevée
Exposez votre problème ici :
Exécutez "npm audit" ou "npm install" avec nodemailer-mailgun-transport ^2.0.2
Donne moi:
"netmask npm package vulnérable aux données d'entrée octales"
"corrigé dans >=2.0.1"
Netmask est utilisé par jusqu'à 300 000 projets en direct. Vulnérabilité signalée il y a environ deux jours.
Hé, j'ai essayé de patcher le package-lock.json
pour utiliser une version NON VULNÉRABLE du masque de réseau - je pense que cela a fonctionné ? Faites-moi savoir ce que vous voyez maintenant :)
Cela me semble corrigé dans une caisse propre + npm install
Je le vois toujours dans un projet de production via yarn audit
, cependant, je soupçonne qu'il n'a pas été publié
@anachronic j'ai publié dans npm comme 2.0.3
- https://www.npmjs.com/package/nodemailer-mailgun-transport
Apparemment nodemailer-mailgun-transport id utilisant une bibliothèque mailgun désormais non officielle? Est-ce un échange facile vers la version "officielle" ? Il semble que la dépendance appropriée devrait être "mailgun.js", ce qui atténuera la vulnérabilité de sécurité (et, espérons-le, aidera pour les problèmes futurs). Discussion ici : https://github.com/mailgun/mailgun-js/issues/122
Ouais, changez simplement la dépendance et réécrivez le code qui est utilisé pour la bibliothèque officielle.
plugin officiel : https://www.npmjs.com/package/mailgun.js
plugin obsolète : https://www.npmjs.com/package/mailgun-js (il est référencé dans la documentation de mailgun, d'où la confusion)
officiel utilise '...require=('mailgun.js) par opposition à ...require('mailgun-js')
Fatigué, mais j'espère que c'était un tldr
@zhyrin suppose que quelqu'un va devoir faire des recherches pour voir combien de réécriture de code est nécessaire
pas intéressé
@zhyrin suppose que quelqu'un va devoir faire des recherches pour voir combien de réécriture de code est nécessaire
Le n° 104 n'est-il pas une solution à cela ?
pas intéressé
super! au moins tu es honnête sur la façon dont tu aimes l'open source
Le n° 104 n'est-il pas une solution à cela ?
Laisse-moi regarder
Vous avez l'impression que la dernière version de Mail Gun est toujours vulnérable ? https://snyk.io/advisor/npm-package/mailgun-js
@omerlh Nous avons mis à niveau vers l'autre - celui-ci est obsolète
Lequel? Je peux voir que la dernière version est toujours vulnérable : https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport
Je crois que cela est résolu dans master (voir #104), cependant, 2.0.3 (dernière version publiée) semble pointer vers le dernier commit avant le correctif.
Bien que je ne sois pas sûr, peut-être que publier une nouvelle version résout ce problème ?
@orliesaurus pouvons-nous obtenir une nouvelle version basée sur le point de @anachronic ?
Ouais il faut absolument que je pousse la mise à jour qui est dans le master ! Merci à vous tous !
Une chronologie sur cette version bump? Ce ticket doit-il être fermé avant que la dernière version ne soit mise à jour vers master ?