Kerentanan tingkat keparahan tinggi
Nyatakan masalah Anda di sini:
Jalankan "npm audit" atau "npm install" dengan nodemailer-mailgun-transport ^2.0.2
memberi saya:
"paket netmask npm rentan terhadap data input oktal"
"ditambal di >=2.0.1"
Netmask digunakan oleh hingga 300 ribu proyek langsung. Kerentanan dilaporkan sekitar dua hari lalu.
Hei, saya mencoba menambal package-lock.json
untuk menggunakan versi netmask NON-RENTAN - saya pikir itu berhasil? Beri tahu saya apa yang Anda lihat sekarang :)
Tampak tetap bagi saya dalam checkout yang bersih + npm install
Saya masih melihatnya dalam proyek produksi melalui yarn audit
, meskipun, saya curiga itu belum dipublikasikan
@anachronic saya diterbitkan di npm sebagai 2.0.3
- https://www.npmjs.com/package/nodemailer-mailgun-transport
Rupanya nodemailer-mailgun-transport id menggunakan perpustakaan mailgun yang sekarang tidak resmi? Apakah ini pertukaran yang mudah ke versi "resmi"? Sepertinya ketergantungan yang tepat seharusnya "mailgun.js" dan kemudian itu akan mengurangi kerentanan keamanan (dan semoga membantu untuk masalah di masa mendatang). Diskusi di sini: https://github.com/mailgun/mailgun-js/issues/122
Ya cukup ubah ketergantungan dan tulis ulang sedikit kode kode yang digunakan untuk perpustakaan resmi.
plugin resmi: https://www.npmjs.com/package/mailgun.js
plugin usang: https://www.npmjs.com/package/mailgun-js (direferensikan dalam dokumen mailgun, maka kebingungan)
resmi menggunakan '...require=('mailgun.js) sebagai lawan dari ...require('mailgun-js')
Lelah, tapi berharap itu adalah tldr
@zhyrin kira seseorang harus melakukan riset untuk melihat berapa banyak penulisan ulang kode yang diperlukan
tidak tertarik
@zhyrin kira seseorang harus melakukan riset untuk melihat berapa banyak penulisan ulang kode yang diperlukan
Apakah # 104 bukan perbaikan untuk ini?
tidak tertarik
Bagus! setidaknya Anda jujur tentang bagaimana Anda menyukai open source
Apakah # 104 bukan perbaikan untuk ini?
biarkan aku melihat
Sepertinya versi terbaru dari mail gun masih rentan? https://snyk.io/advisor/npm-package/mailgun-js
@omerlh Kami telah meningkatkan ke yang lain - yang itu sudah usang
Yang mana? Saya dapat melihat versi terbaru masih rentan: https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport
Saya percaya ini diselesaikan di master (lihat # 104), namun, 2.0.3 (versi terakhir diterbitkan) tampaknya menunjuk ke komit terakhir sebelum perbaikan.
Meskipun saya tidak yakin, mungkin menerbitkan versi baru menyelesaikan ini?
@orliesaurus bisakah kita mendapatkan rilis baru berdasarkan poin @anachronic ?
Ya, saya pasti perlu mendorong pembaruan yang ada di master! Terima kasih semuanya!
Adakah timeline pada versi ini? Haruskah tiket ini ditutup sebelum versi terbaru diperbarui ke master?