Nodemailer-mailgun-transport: vulnérabilité de gravité élevée dans le plug-in de masque de réseau
- Quel type de problème signalez-vous ?
- Un bug dans un plugin de nodemailer-mailgun-transport ^2.0.2 (plugin netmask)
Vulnérabilité de gravité élevée
Exposez votre problème ici :
Exécutez "npm audit" ou "npm install" avec nodemailer-mailgun-transport ^2.0.2
Donne moi:
"netmask npm package vulnérable aux données d'entrée octales"
"corrigé dans >=2.0.1"
Netmask est utilisé par jusqu'à 300 000 projets en direct. Vulnérabilité signalée il y a environ deux jours.
zhyrin
Tous les 17 commentaires
Hé, j'ai essayé de patcher le package-lock.json pour utiliser une version NON VULNÉRABLE du masque de réseau - je pense que cela a fonctionné ? Faites-moi savoir ce que vous voyez maintenant :)
orliesaurus
le 6 avr. 2021
Cela me semble corrigé dans une caisse propre + npm install
Je le vois toujours dans un projet de production via yarn audit , cependant, je soupçonne qu'il n'a pas été publié
anachronic
le 6 avr. 2021
@anachronic j'ai publié dans npm comme 2.0.3 - https://www.npmjs.com/package/nodemailer-mailgun-transport
orliesaurus
le 8 avr. 2021
Apparemment nodemailer-mailgun-transport id utilisant une bibliothèque mailgun désormais non officielle? Est-ce un échange facile vers la version "officielle" ? Il semble que la dépendance appropriée devrait être "mailgun.js", ce qui atténuera la vulnérabilité de sécurité (et, espérons-le, aidera pour les problèmes futurs). Discussion ici : https://github.com/mailgun/mailgun-js/issues/122
rfox12
le 9 avr. 2021
Ouais, changez simplement la dépendance et réécrivez le code qui est utilisé pour la bibliothèque officielle.
plugin officiel : https://www.npmjs.com/package/mailgun.js
plugin obsolète : https://www.npmjs.com/package/mailgun-js (il est référencé dans la documentation de mailgun, d'où la confusion)
officiel utilise '...require=('mailgun.js) par opposition à ...require('mailgun-js')
Fatigué, mais j'espère que c'était un tldr
zhyrin
le 9 avr. 2021
@zhyrin suppose que quelqu'un va devoir faire des recherches pour voir combien de réécriture de code est nécessaire
orliesaurus
le 10 avr. 2021
pas intéressé
zhyrin
le 12 avr. 2021
@zhyrin suppose que quelqu'un va devoir faire des recherches pour voir combien de réécriture de code est nécessaire
Le n° 104 n'est-il pas une solution à cela ?
anachronic
le 12 avr. 2021
pas intéressé
super! au moins tu es honnête sur la façon dont tu aimes l'open source
orliesaurus
le 12 avr. 2021
Le n° 104 n'est-il pas une solution à cela ?
Laisse-moi regarder
orliesaurus
le 12 avr. 2021
Vous avez l'impression que la dernière version de Mail Gun est toujours vulnérable ? https://snyk.io/advisor/npm-package/mailgun-js
omerlh
le 4 mai 2021
@omerlh Nous avons mis à niveau vers l'autre - celui-ci est obsolète
orliesaurus
le 4 mai 2021
Lequel? Je peux voir que la dernière version est toujours vulnérable : https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport
omerlh
le 5 mai 2021
Je crois que cela est résolu dans master (voir #104), cependant, 2.0.3 (dernière version publiée) semble pointer vers le dernier commit avant le correctif.
Bien que je ne sois pas sûr, peut-être que publier une nouvelle version résout ce problème ?
anachronic
le 6 mai 2021
@orliesaurus pouvons-nous obtenir une nouvelle version basée sur le point de @anachronic ?
shawncarr
le 6 mai 2021
Ouais il faut absolument que je pousse la mise à jour qui est dans le master ! Merci à vous tous !
orliesaurus
le 6 mai 2021
Une chronologie sur cette version bump? Ce ticket doit-il être fermé avant que la dernière version ne soit mise à jour vers master ?
axelauvinen
le 7 mai 2021
Questions connexes
WillSquire
·
11Commentaires
peepo
·
19Commentaires
cwhatley
·
5Commentaires
alivedise
·
21Commentaires
Gozala
·
160Commentaires