Async: Vulnerabilidade de gravidade média encontrada no lodash

Criado em 4 fev. 2019 · 4Comentários · Fonte: caolan/async

snyk relata uma vulnerabilidade de Negação de Serviço de Expressão Regular em uma de suas dependências, lodash 4.17.5 .

✗ Medium severity vulnerability found in lodash
  Description: Regular Expression Denial of Service (ReDoS)
  Info: https://snyk.io/vuln/SNYK-JS-LODASH-73639
  Introduced through: [email protected]
  From: [email protected] > [email protected]
  Remediation:
    Your dependencies are out of date, otherwise you would be using a newer version of lodash. 
    Try deleting node_modules, reinstalling and running `snyk test` again. If the problem persists, one of your dependencies may be bundling outdated modules.

Analyzing npm dependencies for package.json
Querying vulnerabilities database...
Tested 255 dependencies for known vulnerabilities, found 3 vulnerabilities, 23 vulnerable paths.

? 2 vulnerabilities introduced via [email protected]
- info: https://snyk.io/package/npm/async/2.6.1

Desde já, obrigado!

Fonte

dep

👍2

Comentários muito úteis

A atualização do lodash não foi um problema, publiquei a v2.6.2 com a atualização.

aearly em 12 fev. 2019

👍2 🎉1

Todos 4 comentários

Ressalto

dscalzi em 8 fev. 2019

Nós não usamos esse método, então ele não se aplica a nós. Nós removemos o lodash em
v3.0. Acho que houve alguns problemas para migrarmos desse menor
versão do lodash na linha 2.x do Async.

Em sex, 8 de fevereiro de 2019, 02:12 Daniel Scalzi < [email protected] escreveu:

Ressalto
—
Você está recebendo isso porque está inscrito neste tópico.
Responda a este e-mail diretamente, visualize-o no GitHub
https://github.com/caolan/async/issues/1620#issuecomment-461784127 ou silenciar
o segmento
https://github.com/notifications/unsubscribe-auth/AAiEbmULsTIq6AwY5RHZJNcM60O1Lw7tks5vLWmygaJpZM4ah0sH
.

aearly em 9 fev. 2019

👍1

Acho que uma simples atualização de patch resolveria o problema.