Axios: Vulnerabilidade encontrada

Criado em 29 mai. 2019  ·  32Comentários  ·  Fonte: axios/axios

Alta gravidade

image

Comentários muito úteis

Está mesclado (#1485), mas ainda não lançado. Você pode consultar https://snyk.io/vuln/SNYK-JS-AXIOS-174505.

Todos 32 comentários

+1 sobre isso, recebi isso hoje e precisaremos lançar uma correção para conformidade o mais rápido possível. Se ninguém tiver largura de banda, posso tentar pular isso na próxima semana.

+1 aqui, gostaria de obter essa correção.

+1 aqui, alguma solução?

+1, soluções?

Está mesclado (#1485), mas ainda não lançado. Você pode consultar https://snyk.io/vuln/SNYK-JS-AXIOS-174505.

Existe um plano para fazer um lançamento incluindo isso? Há algo que possamos fazer para ajudar a acelerar isso?

Também gostaria de saber se há planos para lançar uma versão com o patch.

grande +1

para cima +1

Como mencionei em #1485, talvez seja melhor clicar no botão Subscribe para este problema em vez de comentar com um +1 🙂 Dessa forma, você será notificado sem criar notificações ou e-mails para todos senão. Eu sei que isso vai aparecer para muitos repositórios do GitHub.

Subscribe button screenshot

Quando esse problema será corrigido? Recebi toneladas de e-mails do github sobre axios.

Também estou com esse problema. Eu não sei nada sobre isso :'( alguém pls ajuda!!

Pressionar o botão "Inscrever-se" significa o ataque de spam por causa de pessoas como ^ ^

Oh, espere um momento, agora eu sou um deles :)


Amigos, por favor cliquem neste botão ao invés de deixar comentários inúteis

image

Ping @nickuraltsev & @mzabriskie , vendo que @emilyemorehouse não está mais listada no npm como colaboradora.

Por comentário de @spilist , parece que a correção já está mesclada (#1485). Podemos obter uma versão 0.19.0 ou 0.18.0.patch?

Se você realmente precisa consertar sua equipe de TI e está de acordo com o que está na dica: npm install --save git://github.com/axios/axios.git#f28ff93

0.19.0 tem uma correção e foi lançado!

Como este repositório é pré-v1, essa mudança (e apenas essa mudança) realmente deveria ter sido publicada como um patch bump ( 0.18.1 ) para que os aplicativos que tenham a dependência definida como ^0.18.0 possam obter o patch automaticamente.

@tybro0103 concordou - eu planejo lançar um 0.18.1 também, mas preciso configurar uma ramificação para escolher a correção, já que este projeto sempre foi lançado a partir de master

@emilyemorehouse Parece que uma vez que você lança uma versão no npm, você não pode revertê-la. Então, se for verdade, talvez você deva manter 0.19.0 ou causaria mais problemas mais tarde.

@emilyemorehouse Parece que uma vez que você lança uma versão no npm, você não pode revertê-la. Então, se for verdade, talvez você deva manter 0.19.0 ou causaria mais problemas mais tarde.

Eles podem implantar 0.19.0 e 0.18.1 .

Obrigado @emilyemorehouse e a todos! Problema resolvido!

Corrigido a partir da atualização, obrigado @emilyemorehouse e todos! Para meus amigos verem é só correr npm install axios<strong i="6">@latest</strong> --save

Obrigado pelo lançamento!

Só para confirmar, uma versão de patch será publicada ou precisamos usar a versão 0.19.0 para a correção?

Não quero acumular (desculpe!), mas também estou curioso sobre 0.18.1 . Parece que 0.19.0 traz algumas mudanças importantes para nós. Estamos esperando o patch em vez de tentar atualizar e corrigir a falha.

Estou trabalhando ativamente em 0.18.1 — esperando lançá-lo ainda hoje!

Você é o melhor! Obrigado por todo o trabalho nisso 🤗

Olá perdão pela minha ignorância, tenho no meu projeto instalado o axios 0.18 e quando fiz o upload do meu projeto para o github recebo o alerta: " Encontramos uma potencial vulnerabilidade de segurança em uma de suas dependências ." qual é a solução que você conseguiu encontrar aqui?

@FerCruzBanegas com "axios": "^0.18" você já deve estar puxando 0.18.1 que tem a vulnerabilidade corrigida.

Se você quiser ter certeza de que pode alterá-lo para "axios": "^0.18.1", em seu arquivo package.json. Isso deve fazer o aviso ir embora

@vesper8 muito obrigado agora vou atualizar minha dependência

cara alguém por favor me diga como eu atualizo meu "Axios! 13 dias n eu ainda tenho noqlue!"

cara alguém por favor me diga como eu atualizo meu "Axios! 13 dias n eu ainda tenho noqlue!"

a maneira mais fácil de resolver a vulnerabilidade sem alterar a funcionalidade é atualizar de 0.18.0 para 0.18.1 .

npm install [email protected]

ou

yarn add [email protected]

Esta página foi útil?
0 / 5 - 0 avaliações

Questões relacionadas

Baoyx007 picture Baoyx007  ·  3Comentários

c0debreaker picture c0debreaker  ·  3Comentários

Shu-Ji picture Shu-Ji  ·  3Comentários

tbaustin picture tbaustin  ·  3Comentários

reggi picture reggi  ·  3Comentários