Vulnerabilidade de alta gravidade
Declare seu problema aqui:
Execute "npm audit" ou "npm install" com nodemailer-mailgun-transport ^ 2.0.2
me dá:
"pacote npm netmask vulnerável a dados de entrada octal"
"patcheado em> = 2.0.1"
A máscara de rede é usada por até 300 mil projetos ativos. Vulnerabilidade relatada cerca de dois dias atrás.
Ei, tentei corrigir o package-lock.json
para usar uma versão NÃO VULNERÁVEL da máscara de rede - acho que funcionou? Deixe-me saber o que você está vendo agora :)
Parece corrigido para mim em uma finalização de compra limpa + npm install
Ainda estou vendo isso em um projeto de produção de yarn audit
, embora suspeite que não foi publicado
@anachronic publiquei em npm como 2.0.3
- https://www.npmjs.com/package/nodemailer-mailgun-transport
Aparentemente, nodemailer-mailgun-transport id usando uma biblioteca de mailgun agora não oficial? Esta é uma troca fácil para a versão "oficial"? Parece que a dependência adequada deve ser "mailgun.js" e isso irá aliviar a vulnerabilidade de segurança (e esperançosamente ajudar em problemas futuros). Discussão aqui: https://github.com/mailgun/mailgun-js/issues/122
Sim, basta alterar a dependência e reescrever o trecho de código que é usado para a biblioteca oficial.
plugin oficial: https://www.npmjs.com/package/mailgun.js
Plug-in obsoleto: https://www.npmjs.com/package/mailgun-js (referenciado na documentação do mailgun, daí a confusão)
oficial usa '... require = (' mailgun.js) ao invés de ... require ('mailgun-js')
Cansado, mas espero que seja um tldr
@zhyrin acho que alguém vai ter que fazer alguma pesquisa para ver quanta reescrita de código é necessária
não interessado
@zhyrin acho que alguém vai ter que fazer alguma pesquisa para ver quanta reescrita de código é necessária
# 104 não é uma solução para isso?
não interessado
excelente! pelo menos você é honesto sobre como gosta de código aberto
# 104 não é uma solução para isso?
deixe-me ver
Parece que a versão mais recente do mail gun ainda está vulnerável? https://snyk.io/advisor/npm-package/mailgun-js
@omerlh Fizemos upgrade para o outro - esse está obsoleto
Qual deles? Posso ver que a versão mais recente ainda está vulnerável: https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport
Acredito que isso seja resolvido no master (veja # 104), no entanto, 2.0.3 (última versão publicada) parece apontar para o último commit antes da correção.
Embora eu não tenha certeza, talvez publicar uma nova versão resolva isso?
@orliesaurus podemos obter um novo lançamento baseado no ponto de @anachronic ?
Sim, eu definitivamente preciso empurrar a atualização que está no master! Obrigado a todos!
Alguma linha do tempo neste aumento de versão? Este tíquete deve ser fechado antes que a versão mais recente seja atualizada para o master?