Nodemailer-mailgun-transport: kerentanan keparahan tinggi di plugin netmask
- Masalah seperti apa yang Anda laporkan?
- Bug di plugin nodemailer-mailgun-transport ^2.0.2 (plugin netmask)
Kerentanan tingkat keparahan tinggi
Nyatakan masalah Anda di sini:
Jalankan "npm audit" atau "npm install" dengan nodemailer-mailgun-transport ^2.0.2
memberi saya:
"paket netmask npm rentan terhadap data input oktal"
"ditambal di >=2.0.1"
Netmask digunakan oleh hingga 300 ribu proyek langsung. Kerentanan dilaporkan sekitar dua hari lalu.
zhyrin
Semua 17 komentar
Hei, saya mencoba menambal package-lock.json untuk menggunakan versi netmask NON-RENTAN - saya pikir itu berhasil? Beri tahu saya apa yang Anda lihat sekarang :)
orliesaurus
pada 6 Apr 2021
Tampak tetap bagi saya dalam checkout yang bersih + npm install
Saya masih melihatnya dalam proyek produksi melalui yarn audit , meskipun, saya curiga itu belum dipublikasikan
anachronic
pada 6 Apr 2021
@anachronic saya diterbitkan di npm sebagai 2.0.3 - https://www.npmjs.com/package/nodemailer-mailgun-transport
orliesaurus
pada 8 Apr 2021
Rupanya nodemailer-mailgun-transport id menggunakan perpustakaan mailgun yang sekarang tidak resmi? Apakah ini pertukaran yang mudah ke versi "resmi"? Sepertinya ketergantungan yang tepat seharusnya "mailgun.js" dan kemudian itu akan mengurangi kerentanan keamanan (dan semoga membantu untuk masalah di masa mendatang). Diskusi di sini: https://github.com/mailgun/mailgun-js/issues/122
rfox12
pada 9 Apr 2021
Ya cukup ubah ketergantungan dan tulis ulang sedikit kode kode yang digunakan untuk perpustakaan resmi.
plugin resmi: https://www.npmjs.com/package/mailgun.js
plugin usang: https://www.npmjs.com/package/mailgun-js (direferensikan dalam dokumen mailgun, maka kebingungan)
resmi menggunakan '...require=('mailgun.js) sebagai lawan dari ...require('mailgun-js')
Lelah, tapi berharap itu adalah tldr
zhyrin
pada 9 Apr 2021
@zhyrin kira seseorang harus melakukan riset untuk melihat berapa banyak penulisan ulang kode yang diperlukan
orliesaurus
pada 10 Apr 2021
tidak tertarik
zhyrin
pada 12 Apr 2021
@zhyrin kira seseorang harus melakukan riset untuk melihat berapa banyak penulisan ulang kode yang diperlukan
Apakah # 104 bukan perbaikan untuk ini?
anachronic
pada 12 Apr 2021
tidak tertarik
Bagus! setidaknya Anda jujur tentang bagaimana Anda menyukai open source
orliesaurus
pada 12 Apr 2021
Apakah # 104 bukan perbaikan untuk ini?
biarkan aku melihat
orliesaurus
pada 12 Apr 2021
Sepertinya versi terbaru dari mail gun masih rentan? https://snyk.io/advisor/npm-package/mailgun-js
omerlh
pada 4 Mei 2021
@omerlh Kami telah meningkatkan ke yang lain - yang itu sudah usang
orliesaurus
pada 4 Mei 2021
Yang mana? Saya dapat melihat versi terbaru masih rentan: https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport
omerlh
pada 5 Mei 2021
Saya percaya ini diselesaikan di master (lihat # 104), namun, 2.0.3 (versi terakhir diterbitkan) tampaknya menunjuk ke komit terakhir sebelum perbaikan.
Meskipun saya tidak yakin, mungkin menerbitkan versi baru menyelesaikan ini?
anachronic
pada 6 Mei 2021
@orliesaurus bisakah kita mendapatkan rilis baru berdasarkan poin @anachronic ?
shawncarr
pada 6 Mei 2021
Ya, saya pasti perlu mendorong pembaruan yang ada di master! Terima kasih semuanya!
orliesaurus
pada 6 Mei 2021
Adakah timeline pada versi ini? Haruskah tiket ini ditutup sebelum versi terbaru diperbarui ke master?
axelauvinen
pada 7 Mei 2021
Masalah terkait
WillSquire
·
11Komentar
juriansluiman
·
3Komentar
zsitro
·
3Komentar
AaronAcerboni
·
3Komentar
fohlsom
·
3Komentar