Nodemailer-mailgun-transport: 넷마스크 플러그인의 심각도가 높은 취약점

이봐, 나는 NON-VULNERABLE 버전의 넷마스크를 사용하기 위해 package-lock.json 패치를 시도했는데 효과가 있었던 것 같아? 지금 보고 있는 내용을 알려주세요 :)

깔끔한 결제 + npm install 에서 나에게 고정된 것 같습니다.

yarn audit 통해 프로덕션 프로젝트에서 여전히 보고 있습니다. 하지만 게시되지 않은 것 같습니다.

@anachronic npm에 2.0.3 로 게시했습니다. - https://www.npmjs.com/package/nodemailer-mailgun-transport

현재 비공식 mailgun 라이브러리를 사용하는 nodemailer-mailgun-transport id가 분명합니까? "공식" 버전으로 쉽게 교체할 수 있습니까? 적절한 종속성은 "mailgun.js"여야 하며 보안 취약점을 완화할 것입니다(향후 문제에 도움이 되길 바랍니다). 토론: https://github.com/mailgun/mailgun-js/issues/122

예, 종속성을 변경하고 공식 라이브러리에 사용되는 코드 비트를 다시 작성하십시오.
공식 플러그인: https://www.npmjs.com/package/mailgun.js
더 이상 사용되지 않는 플러그인: https://www.npmjs.com/package/mailgun-js(mailgun 문서에서 참조하므로 혼동됨)

공식은 ...require('mailgun-js')가 아닌 '...require=('mailgun.js)를 사용합니다.

피곤하지만 tldr이 되었기를 바랍니다.

@zhyrin 누군가가 코드 재작성이 얼마나 필요한지 알아보기 위해 조사를 해야 할 것 같습니다.

관심이 없다

@zhyrin 누군가가 코드 재작성이 얼마나 필요한지 알아보기 위해 조사를 해야 할 것 같습니다.

#104는 이에 대한 수정 사항이 아닙니까?

관심이 없다

엄청난! 적어도 당신은 오픈 소스를 얼마나 좋아하는지에 대해 정직합니다.

#104는 이에 대한 수정 사항이 아닙니까?

한 번 볼게요

최신 버전의 메일 건이 여전히 취약한 것 같습니까? https://snyk.io/advisor/npm-package/mailgun-js

@omerlh 우리는 다른 것으로 업그레이드했습니다 - 그 하나는 더 이상 사용되지 않습니다

어느 것? 최신 버전이 여전히 취약하다는 것을 알 수 있습니다. https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport

나는 이것이 마스터에서 해결되었다고 생각하지만(#104 참조), 2.0.3(출시된 마지막 버전)은 수정 이전의 마지막 커밋을 가리키는 것 같습니다.

확실하지 않지만 새 버전을 게시하면 이 문제가 해결될 수 있습니까?

@orliesaurus 우리는 @anachronic의 점을 기준으로 새 릴리스를받을 수 있나요?

네, 마스터에 있는 업데이트를 반드시 푸시해야 합니다! 감사합니다!

이 버전 범프에 대한 타임라인이 있습니까? 최신 버전이 마스터로 업데이트되기 전에 이 티켓을 닫아야 합니까?