search

gabrielboliveira / tracking-correios

Módulo para consulta do rastreio de pacotes do Correios - API SRO
MIT License
110 stars 27 forks source link

Some vulnerabilities require your attention to resolve #40

Closed klaveren closed 3 years ago

klaveren commented 3 years ago

Hi Devs,

In a few days ago the npm audit security report identify a security problem Denial of Service in the node-fetch. The notify is here https://npmjs.com/advisories/1556. And the solution is update the node-fetch to version => 3.0

You have some idea to update the package in the near future?

Thanks

gabrielboliveira commented 3 years ago

Updated on version 1.2.3, already published. Thanks for your report

klaveren commented 3 years ago

Obrigado Gabriel. Parabéns pelo projeto. Atualizei aqui e o npm ainda está acusando Denial of Service.

                   === npm audit security report ===

┌──────────────────────────────────────────────────────────────────────────────┐ │ Manual Review │ │ Some vulnerabilities require your attention to resolve │ │ │ │ Visit https://go.npm.me/audit-guide for additional guidance │ └──────────────────────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ Low │ Denial of Service │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.6.1 <3.0.0-beta.1|| >= 3.0.0-beta.9 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ tracking-correios │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ tracking-correios > isomorphic-fetch > node-fetch │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://npmjs.com/advisories/1556

gabrielboliveira commented 3 years ago

@klaveren Eu uso o Yarn no projeto, e rodando yarn audit encontra somente 2 libs com vulnerabilidades "low". Depois de adicionar essas duas no package.json como resolutions, forçando essa versão, resolveu e não apareceu a node-fetch.

image

Como vc pode ver no package.json, eu forcei a versão ^2.6.1 do note-fetch. Deve ser alguma configuração no seu lock file que não está carregando as dependências corretas. https://github.com/gabrielboliveira/tracking-correios/blob/d8aaadf9636072f3635eafa800cdbe404518330a/package.json#L40-L44

Recomendo vc remover e adicionar novamente o pacote do tracking-correios na versão 1.2.3.

Já fiz uma boa refatoração de código, está no branch dev. Removi inclusive essa isomorphic-fetch que causa os problemas de vulnerabilidade. Vou realizar mais alguns testes antes de taggear.

klaveren commented 3 years ago

Interessante, é pena que no npm eu não consigo usar resolutions de forma nativa. Fiz o que você recomendou, até reinstalei todas as minhas dependências. Mas ainda sem sucesso. To te mandando um log para você ver como tá sendo apresentada a mensagem aqui pra quem usa o NPM.

Obrigado.

Screen Shot 2020-10-08 at 12 35 57

gabrielboliveira commented 3 years ago

@klaveren Atualizei para versão 1.3.0. Pode tentar usar essa nova versão? Contém várias atualizações de pacotes internos.

klaveren commented 3 years ago

Que legal, muito obrigado. Está tudo funcionando perfeitamente. Parabéns pelo trabalho.