Уязвимость высокой степени серьезности
Укажите здесь свою проблему:
Запустите «npm audit» или «npm install» с помощью nodemailer-mailgun-transport ^ 2.0.2
дает мне:
"пакет netmask npm уязвим для восьмеричных входных данных"
"исправлено в> = 2.0.1"
Сетевая маска используется до 300 тыс. Живых проектов. Об уязвимости сообщалось около двух дней назад.
Привет, я попытался исправить package-lock.json
чтобы использовать НЕУязвимую версию сетевой маски - я думаю, это сработало? Дай мне знать, что ты сейчас видишь :)
Мне кажется, что это исправлено в чистой кассе + npm install
Я все еще вижу его в производственном проекте через yarn audit
, хотя подозреваю, что он не был опубликован.
@anachronic я опубликовал в npm как 2.0.3
- https://www.npmjs.com/package/nodemailer-mailgun-transport
По-видимому, идентификатор nodemailer-mailgun-transport, использующий теперь неофициальную библиотеку mailgun? Это простой переход на "официальную" версию? Похоже, что правильная зависимость должна быть «mailgun.js», и тогда это уменьшит уязвимость системы безопасности (и, надеюсь, поможет в решении будущих проблем). Обсуждение здесь: https://github.com/mailgun/mailgun-js/issues/122
Да, просто измените зависимость и перепишите фрагмент кода, который используется для официальной библиотеки.
официальный плагин: https://www.npmjs.com/package/mailgun.js
устаревший плагин: https://www.npmjs.com/package/mailgun-js (на него есть ссылка в документации mailgun, отсюда путаница)
официальный использует '... require = (' mailgun.js) в отличие от ... require ('mailgun-js')
Устал, но надеюсь, что это был TLDR
@zhyrin предполагаю, что кому-то нужно будет провести небольшое исследование, чтобы увидеть, сколько нужно переписать код
не интересует
@zhyrin предполагаю, что кому-то нужно будет провести небольшое исследование, чтобы увидеть, сколько нужно переписать код
Разве # 104 не исправляет это?
не интересует
большой! по крайней мере, вы честны в отношении того, как вам нравится открытый исходный код
Разве # 104 не исправляет это?
дай взглянуть
Похоже, последняя версия mail gun все еще уязвима? https://snyk.io/advisor/npm-package/mailgun-js
@omerlh Мы перешли на другую - она устарела
Который из? Я вижу, что последняя версия все еще уязвима: https://snyk.io/advisor/npm-package/nodemailer-mailgun-transport
Я считаю, что это решено в мастере (см. №104), однако 2.0.3 (последняя опубликованная версия), похоже, указывает на последнюю фиксацию перед исправлением.
Хотя я не уверен, может быть, публикация новой версии решит это?
@orliesaurus, можем ли мы получить новую версию на основе точки
Да, мне определенно нужно запустить обновление, которое есть в мастере! Спасибо всем!
Есть ли временные рамки для этой версии? Следует ли закрыть этот билет до того, как последняя версия будет обновлена до уровня master?