Nodemailer-mailgun-transport: vulnerabilidade de alta gravidade no plugin de máscara de rede
- Que tipo de problema você está relatando?
- Um bug em um plugin do nodemailer-mailgun-transport ^ 2.0.2 (plugin netmask)
Vulnerabilidade de alta gravidade
Declare seu problema aqui:
Execute "npm audit" ou "npm install" com nodemailer-mailgun-transport ^ 2.0.2
me dá:
"pacote npm netmask vulnerável a dados de entrada octal"
"patcheado em> = 2.0.1"
A máscara de rede é usada por até 300 mil projetos ativos. Vulnerabilidade relatada cerca de dois dias atrás.
zhyrin
Todos 17 comentários
Ei, tentei corrigir o package-lock.json para usar uma versão NÃO VULNERÁVEL da máscara de rede - acho que funcionou? Deixe-me saber o que você está vendo agora :)
orliesaurus
em 6 abr. 2021
Parece corrigido para mim em uma finalização de compra limpa + npm install
Ainda estou vendo isso em um projeto de produção de yarn audit , embora suspeite que não foi publicado
anachronic
em 6 abr. 2021
@anachronic publiquei em npm como 2.0.3 - https://www.npmjs.com/package/nodemailer-mailgun-transport
orliesaurus
em 8 abr. 2021
Aparentemente, nodemailer-mailgun-transport id usando uma biblioteca de mailgun agora não oficial? Esta é uma troca fácil para a versão "oficial"? Parece que a dependência adequada deve ser "mailgun.js" e isso irá aliviar a vulnerabilidade de segurança (e esperançosamente ajudar em problemas futuros). Discussão aqui: https://github.com/mailgun/mailgun-js/issues/122
rfox12
em 9 abr. 2021
Sim, basta alterar a dependência e reescrever o trecho de código que é usado para a biblioteca oficial.
plugin oficial: https://www.npmjs.com/package/mailgun.js
Plug-in obsoleto: https://www.npmjs.com/package/mailgun-js (referenciado na documentação do mailgun, daí a confusão)
oficial usa '... require = (' mailgun.js) ao invés de ... require ('mailgun-js')
Cansado, mas espero que seja um tldr
zhyrin
em 9 abr. 2021
@zhyrin acho que alguém vai ter que fazer alguma pesquisa para ver quanta reescrita de código é necessária
orliesaurus
em 10 abr. 2021
não interessado
zhyrin
em 12 abr. 2021
@zhyrin acho que alguém vai ter que fazer alguma pesquisa para ver quanta reescrita de código é necessária
# 104 não é uma solução para isso?
anachronic
em 12 abr. 2021
não interessado
excelente! pelo menos você é honesto sobre como gosta de código aberto
orliesaurus
em 12 abr. 2021
# 104 não é uma solução para isso?
deixe-me ver
orliesaurus
em 12 abr. 2021
Parece que a versão mais recente do mail gun ainda está vulnerável? https://snyk.io/advisor/npm-package/mailgun-js
omerlh
em 4 mai. 2021
@omerlh Fizemos upgrade para o outro - esse está obsoleto
orliesaurus
em 4 mai. 2021
Qual deles? Posso ver que a versão mais recente ainda está vulnerável: https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport
omerlh
em 5 mai. 2021
Acredito que isso seja resolvido no master (veja # 104), no entanto, 2.0.3 (última versão publicada) parece apontar para o último commit antes da correção.
Embora eu não tenha certeza, talvez publicar uma nova versão resolva isso?
anachronic
em 6 mai. 2021
@orliesaurus podemos obter um novo lançamento baseado no ponto de @anachronic ?
shawncarr
em 6 mai. 2021
Sim, eu definitivamente preciso empurrar a atualização que está no master! Obrigado a todos!
orliesaurus
em 6 mai. 2021
Alguma linha do tempo neste aumento de versão? Este tíquete deve ser fechado antes que a versão mais recente seja atualizada para o master?
axelauvinen
em 7 mai. 2021
Questões relacionadas
WillSquire
·
11Comentários
iklementiev
·
3Comentários
samccone
·
3Comentários
exortech
·
3Comentários
akshaysrin
·
3Comentários