Issue #3332💬 RespondidoAbierto el 11 de marzo de 2021por AmtechInnovarchReacciones 1
enhancementsecuritydependencies

Casi la mitad de los paquetes especificados tienen vulnerabilidades de alto riesgo, todos presentan alguna vulnerabilidad.

Respuesta rápidapor AmtechInnovarch1

Por eso los programadores veteranos con décadas de experiencia desaprueban JS como lenguaje de back-end. Javascript no está pensado para ser un lenguaje de lado servidor, y estos paquetes de nodos crean vulnerabilidades que provocan que los servidores sean hackeados. Esto es una preocupación de seguridad seria y deber...

Lee la respuesta completa abajo ↓

Pregunta

Después de NPM I podemos ver que el nivel de vulnerabilidades es inaceptable.

Añadimos 646 paquetes de 383 colaboradores y auditaron 762 paquetes en 7.892 Se encontraron 724 vulnerabilidades (353 bajas, 23 moderadas, 348 altas) Ejecuta 'NPM Audit Fix' para corregirlos, o 'NPM Audit' para más detalles

Estoy intentando solucionar el problema, al menos localmente. Llevará mucho tiempo porque cada paquete especificado tiene una vulnerabilidad.

Respuestas (4)

AmtechInnovarch11 de marzo de 2021

Por eso los programadores veteranos con décadas de experiencia desaprueban JS como lenguaje de back-end. Javascript no está pensado para ser un lenguaje de lado servidor, y estos paquetes de nodos crean vulnerabilidades que provocan que los servidores sean hackeados.

Corrección de auditoría de npm grapesjs$

Cambié 1 paquete y audité los paquetes de 2026 en 3

# Informe de auditoría del NMP

Diff <3.5.0
Gravedad: alta
Denegación de Servicio con expresión regular - https://npmjs.com/advisories/1631
Corrección disponible a través de 'NPM Audit Fix ---Force'
Instalaré [email protected], que es un cambio rotundo
node_modules/diff
  disparidad <=2.0.0
  Depende de las versiones vulnerables de los diferenciales
  node_modules/disparidad
    Documentación 4.0.0-beta - 13.0.1
    Depende de las versiones vulnerables de la disparidad
    Depende de las versiones vulnerables de los yargs
    node_modules/documentación

Mem <4.0.0
Denegación de Servicio - https://npmjs.com/advisories/1084
Corrección disponible a través de 'NPM Audit Fix ---Force'
Instalaré [email protected], que es un cambio rotundo
node_modules/mem
  OS-locale 2.0.0 - 3.0.0
  Depende de las versiones vulnerables de mem
  node_modules/os-locale
    yargs 4.0.0-alpha1 - 12.0.5 || 14.1.0 || 15.0.0 - 15.2.0
    Depende de las versiones vulnerables de OS-locale
    Depende de las versiones vulnerables de yargs-parser
    node_modules/yargs
      Documentación 4.0.0-beta - 13.0.1
      Depende de las versiones vulnerables de la disparidad
      Depende de las versiones vulnerables de los yargs
      node_modules/documentación

YARGS-analizador <=13.1.1 || 14.0.0 - 15.0.0 || 16.0.0 - 18.1.1
Contaminación prototipo - https://npmjs.com/advisories/1500
Corrección disponible a través de 'NPM Audit Fix ---Force'
Instalaré [email protected], que es un cambio rotundo
node_modules/yargs-parser
  yargs 4.0.0-alpha1 - 12.0.5 || 14.1.0 || 15.0.0 - 15.2.0
  Depende de las versiones vulnerables de OS-locale
  Depende de las versiones vulnerables de yargs-parser
  node_modules/yargs
    Documentación 4.0.0-beta - 13.0.1
    Depende de las versiones vulnerables de la disparidad
    Depende de las versiones vulnerables de los yargs
    node_modules/documentación

7 vulnerabilidades (4 bajas, 3 altas)

Esto es una preocupación de seguridad seria y debería ser abordada por el desarrollador, o debería haber una advertencia adecuada en el readme.md que desincentive el uso en producción sin solucionar todas estas vulnerabilidades.

¿Hay alguna forma de usar solo la capa del lado del cliente de GrapesJS? ¿Puede el desarrollador identificar los archivos del lado del cliente?

KernelDeimos11 de marzo de 2021

¿GrapesJS tiene una capa del lado del servidor?

KernelDeimos11 de marzo de 2021

Javascript no está pensado para ser un lenguaje de lado servidor, y estos paquetes de nodos crean vulnerabilidades que provocan que los servidores sean hackeados.

¿Estás insinuando que Javascript es el único lenguaje donde las dependencias pueden introducir vulnerabilidades de seguridad? Si hay alguna característica de Javascript que hace que este tipo de vulnerabilidades sean más probables, deberías especificarlo en tu afirmación, de lo contrario lo que dices es solo un disparate subjetivo.

ClaudeCode17 de mayo de 2026

Gracias por informar de esto, @AmtechInnovarch.

Los problemas de seguridad y dependencias son importantes. El equipo de GrapesJS trabaja activamente para mantener las dependencias actualizadas.

Para ti ahora mismo:

  1. Ejecutar 'npm audit fix' para ver los parches disponibles
  2. Busca una versión más reciente de GrapesJS que ya haya solucionado esto
  3. Si está disponible, prueba la última versión estable antes de actualizar
  4. Si la vulnerabilidad es crítica, 'npm audit fix ---force' es una opción, pero prueba a fondo

Entendiendo el riesgo:

  • Revisar los detalles específicos de vulnerabilidades en los Avisos de Seguridad de GitHub
  • No todos los problemas de alta gravedad afectan a tu ruta de código
  • Algunas vulnerabilidades solo se activan bajo condiciones específicas

Manteniéndome al día:

  • Atentos a nuevos lanzamientos de GrapesJS
  • Suscribirse a las notificaciones de seguridad en el repositorio
  • El equipo prioriza las actualizaciones de seguridad en su ciclo de lanzamiento

Preguntas y respuestas relacionadas

Continúa investigando con debates sobre temas similares.

Issue #3443

Backbone-Undo/Subrayar Aviso de Seguridad

Versión: 'v0.17.3' ¿Puedes reproducir el error de la demo?[x] Sí[ ] No ¿Cuál es el comportamiento esperado? Véase más abajo ¿Cuál es el com...

4 respuestasActualizado el 5 de julio de 2021

Issue #6687

Dependencia: Backbone-undo está obsoleto (npm) — ¿algún plan para reemplazar o eliminar?

Versión GrapesJS 22.0.14 (última versión a 20-11-2025) ¿Cuál es el comportamiento esperado? No hay dependencias obsoletas en el árbol de in...

1 respuestasActualizado el 13 de enero de 2026

Issue #5743

Vulnerabilidad XSS en el atributo iframe src

Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Edge v122 Enlace de demo reproducible htt...

4 respuestasActualizado el 14 de marzo de 2024

Issue #6723

Dependencia: grapesjs >=0.21.13 Depende de las versiones vulnerables del guion bajo

Versión GrapesJS [x] Confirmo que uso la última versión de GrapesJS ¿Qué navegador usas? Edge, mozilla Enlace de demo reproducible NA Descr...

2 respuestasActualizado el 31 de marzo de 2026

Plugins de pago que cumplen con este problema

Seleccionado por temas clave y relevancia de etiquetas para ayudarte a enviar más rápido.

Ver todos los plugins

Cargando recomendaciones de plugins de pago...

Opción gratuita

Consulta los plugins de código abierto de GrapesJS en GitHub O haz una búsqueda rápida en nuestro catálogo gratuito.

Explora plugins gratuitos →
Opción premium

Los plugins premium incluyen soporte, actualizaciones regulares y funciones listas para producción — ahorrando días de trabajo de integración.

Explora plugins premium →

Tutoriales relacionados

Guías detalladas sobre el mismo tema.

Todos los tutoriales →

Tutorial

Super Tooltip for GrapesJS — Version 0.1.5 Released 🎉

We’re excited to announce the v 0.1.5 update of Super Tooltip, our floating‑menu and tooltip plugin for GrapesJS

Tutorial

GrapesJS in 2026: The Complete Guide to the Open-Source Web Builder Framework

Master GrapesJS in 2026. Architecture, code examples, React integration, plugin development, Studio SDK, and how it compares to other projects

Explorar categorías de plugins

Ve directamente a las páginas de categorías de plugins en el marketplace.

PresetsPluginsComponentesBloquesActivosMandosI18nCapasEstilosAlmacenesRTEBoletinesPáginas webConstructores de terrenos