Nodemailer-mailgun-transport: уязвимость высокой степени опасности в плагине сетевой маски
- О какой проблеме вы сообщаете?
- Ошибка в плагине nodemailer-mailgun-transport ^ 2.0.2 (плагин netmask)
Уязвимость высокой степени серьезности
Укажите здесь свою проблему:
Запустите «npm audit» или «npm install» с помощью nodemailer-mailgun-transport ^ 2.0.2
дает мне:
"пакет netmask npm уязвим для восьмеричных входных данных"
"исправлено в> = 2.0.1"
Сетевая маска используется до 300 тыс. Живых проектов. Об уязвимости сообщалось около двух дней назад.
zhyrin
Все 17 Комментарий
Привет, я попытался исправить package-lock.json чтобы использовать НЕУязвимую версию сетевой маски - я думаю, это сработало? Дай мне знать, что ты сейчас видишь :)
orliesaurus
6 апр. 2021
Мне кажется, что это исправлено в чистой кассе + npm install
Я все еще вижу его в производственном проекте через yarn audit , хотя подозреваю, что он не был опубликован.
anachronic
6 апр. 2021
@anachronic я опубликовал в npm как 2.0.3 - https://www.npmjs.com/package/nodemailer-mailgun-transport
orliesaurus
8 апр. 2021
По-видимому, идентификатор nodemailer-mailgun-transport, использующий теперь неофициальную библиотеку mailgun? Это простой переход на "официальную" версию? Похоже, что правильная зависимость должна быть «mailgun.js», и тогда это уменьшит уязвимость системы безопасности (и, надеюсь, поможет в решении будущих проблем). Обсуждение здесь: https://github.com/mailgun/mailgun-js/issues/122
rfox12
9 апр. 2021
Да, просто измените зависимость и перепишите фрагмент кода, который используется для официальной библиотеки.
официальный плагин: https://www.npmjs.com/package/mailgun.js
устаревший плагин: https://www.npmjs.com/package/mailgun-js (на него есть ссылка в документации mailgun, отсюда путаница)
официальный использует '... require = (' mailgun.js) в отличие от ... require ('mailgun-js')
Устал, но надеюсь, что это был TLDR
zhyrin
9 апр. 2021
@zhyrin предполагаю, что кому-то нужно будет провести небольшое исследование, чтобы увидеть, сколько нужно переписать код
orliesaurus
10 апр. 2021
не интересует
zhyrin
12 апр. 2021
@zhyrin предполагаю, что кому-то нужно будет провести небольшое исследование, чтобы увидеть, сколько нужно переписать код
Разве # 104 не исправляет это?
anachronic
12 апр. 2021
не интересует
большой! по крайней мере, вы честны в отношении того, как вам нравится открытый исходный код
orliesaurus
12 апр. 2021
Разве # 104 не исправляет это?
дай взглянуть
orliesaurus
12 апр. 2021
Похоже, последняя версия mail gun все еще уязвима? https://snyk.io/advisor/npm-package/mailgun-js
omerlh
4 мая 2021
@omerlh Мы перешли на другую - она устарела
orliesaurus
4 мая 2021
Который из? Я вижу, что последняя версия все еще уязвима: https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport
omerlh
5 мая 2021
Я считаю, что это решено в мастере (см. №104), однако 2.0.3 (последняя опубликованная версия), похоже, указывает на последнюю фиксацию перед исправлением.
Хотя я не уверен, может быть, публикация новой версии решит это?
anachronic
6 мая 2021
@orliesaurus, можем ли мы получить новую версию на основе точки
shawncarr
6 мая 2021
Да, мне определенно нужно запустить обновление, которое есть в мастере! Спасибо всем!
orliesaurus
6 мая 2021
Есть ли временные рамки для этой версии? Следует ли закрыть этот билет до того, как последняя версия будет обновлена до уровня master?
axelauvinen
7 мая 2021
Смежные вопросы
WillSquire
·
11Комментарии
ghost
·
3Комментарии
exortech
·
3Комментарии
andrewchch
·
3Комментарии
scrubs
·
3Комментарии