Issue #3443💬 RespondidoAbierto el 7 de mayo de 2021por chilled-capybaraReacciones 0
dependenciessecurityquestionbugenhancement

Backbone-Undo/Subrayar Aviso de Seguridad

Respuesta rápidapor emyasnikov

También me pregunto si es necesario deshacer la columna vertebral o si se puede reemplazar por algo similar. El paquete no se ha actualizado en 6 años

Lee la respuesta completa abajo ↓

Pregunta

Versión: 'v0.17.3'

¿Puedes reproducir el error de la demo?

  • No

¿Cuál es el comportamiento esperado? Véase más abajo

¿Cuál es el comportamiento actual? Existe una vulnerabilidad de seguridad conocida en una de las versiones de 'subrayado' usadas por una dependencia anidada.

La versión actual de 'grapejs' utiliza 'backbone-undo' '^0.2.5' https://github.com/artf/grapesjs/blob/d7f773202c72710dd787e2ce418c114c9ef81986/package.json#L20

La última versión es la '0.2.5' a través de 'npm'

La versión '0.2.5' de 'backbone-undo' tiene un límite fijo en la versión de guion bajo;

'subrayado': "1.4.4 - 1.8.3"'

Lo cual parece vulnerable según este aviso https://github.com/advisories/GHSA-cf4h-3jhx-xvhq

La versión '0.2.6' de 'backbone-undo' actualiza esto, pero como se ha mencionado no está disponible a través de 'npm'

¿Puedes adjuntar capturas de pantalla, screencasts o una demo en directo?

  • No

Respuestas (4)

emyasnikov11 de mayo de 2021

También me pregunto si es necesario deshacer la columna vertebral o si se puede reemplazar por algo similar. El paquete no se ha actualizado en 6 años

artf18 de mayo de 2021

El paquete no se ha actualizado en 6 años

Bueno, salvo actualizar sus dependencias (como en este caso, por razones de seguridad), es una biblioteca completa en funcionalidades, no hay necesidad de añadir o actualizar nada más.

En fin, este PR parece solucionar la vulnerabilidad de seguridad a nivel .lock, pero no estoy seguro de si se mantienen en una instalación limpia. Sé que el hilo tiene 'resoluciones' para estos casos, pero no estoy seguro de alternativas en NPM.

chilled-capybara27 de mayo de 2021

Gracias por tu respuesta

En fin, este PR parece solucionar la vulnerabilidad de seguridad a nivel .lock, pero no estoy seguro de si se mantiene en una instalación limpia.

Creo que eso podría arreglar la versión en el repositorio principal de 'grapejs', pero no estoy seguro de que restrinja la que se importa mediante 'backbone-undo'.

Si configuras un proyecto nuevo a través de

Yarn Init
yarn add grapesjs

El nuevo 'yarn.lock' seguirá haciendo referencia a ambas versiones;

# ESTE ES UN ARCHIVO GENERADO AUTOMÁTICAMENTE. NO EDITES ESTE ARCHIVO DIRECTAMENTE.
# Archivo de bloqueo de hilo v1

backbone-undo@^0.2.5:
  Versión "0.2.5"
  resuelto "https://registry.yarnpkg.com/backbone-undo/-/backbone-undo-0.2.5.tgz#55b25230f90319ca622465e89a80248b893c2ce2"
  integrity sha1-VbJSMPkDGcpiJGXomoAki4k8LOI=
  Dependencias:
    columna vertebral "1.0.0 - 1.2.1"
    subraya "1.4.4 - 1.8.3"

...

grapesjs@^0.17.4:
  Versión "0.17.4"
  resuelto "https://registry.yarnpkg.com/grapesjs/-/grapesjs-0.17.4.tgz#4baf69598b74a2e58c5133d9ab85631cf4de53e1"
  integrity sha512-oBFCg88KpUKly4LCf+FG42f0kbIKBbkilpyBr+2aggnLRpeSYFv3Db+fQIG+H1Y345QVqKbi/IKEUJe5X0wuiw==
  Dependencias:
    Columna vertebral "1.3.3"
    backbone-undo "^0.2.5"
    Cash-dom "^2.3.9"
    codemirror "^5.58.2"
    Formateo codemirror "^1.0.0"
    Keymaster "^1.6.2"
    Promesa-polifill "^8.1.3"
    spectrum-colorpicker "^1.8.0"
    guion bajo "^1.9.1"

...

"[email protected] - 1.8.3":
  Versión "1.8.3"
  resuelto "https://registry.yarnpkg.com/underscore/-/underscore-1.8.3.tgz#4f3fb53b106e6097fcf9cb4109f2a5e9bdfa5022"
  integrity sha1-Tz+1OxBuYJf8+ctBCfKl6b36UCI=

underscore@>=1.7.0, underscore@>=1.8.3, underscore@^1.9.1:
  Versión "1.13.1"
  resuelto "https://registry.yarnpkg.com/underscore/-/underscore-1.13.1.tgz#0c1c6bd2df54b6b69f2314066d65b6cde6fcf9d1"
  integrity sha512-hzSoAVtJF+3ZtiFX0VgfFPHEDRm7Y/QPjGyNo4TVdnDTdft3tr8hEkD25a1jC+TjTuE7tkHGKkhwCgs9dgBB2g==
ClaudeCode17 de mayo de 2026

Gracias por informar de esto, @chilled-capibara.

Los problemas de seguridad y dependencias son importantes. El equipo de GrapesJS trabaja activamente para mantener las dependencias actualizadas.

Para ti ahora mismo:

  1. Ejecutar 'npm audit fix' para ver los parches disponibles
  2. Busca una versión más reciente de GrapesJS que ya haya solucionado esto
  3. Si está disponible, prueba la última versión estable antes de actualizar
  4. Si la vulnerabilidad es crítica, 'npm audit fix ---force' es una opción, pero prueba a fondo

Entendiendo el riesgo:

  • Revisar los detalles específicos de vulnerabilidades en los Avisos de Seguridad de GitHub
  • No todos los problemas de alta gravedad afectan a tu ruta de código
  • Algunas vulnerabilidades solo se activan bajo condiciones específicas

Manteniéndome al día:

  • Atentos a nuevos lanzamientos de GrapesJS
  • Suscribirse a las notificaciones de seguridad en el repositorio
  • El equipo prioriza las actualizaciones de seguridad en su ciclo de lanzamiento

Preguntas y respuestas relacionadas

Continúa investigando con debates sobre temas similares.

Issue #6687

Dependencia: Backbone-undo está obsoleto (npm) — ¿algún plan para reemplazar o eliminar?

Versión GrapesJS 22.0.14 (última versión a 20-11-2025) ¿Cuál es el comportamiento esperado? No hay dependencias obsoletas en el árbol de in...

1 respuestasActualizado el 13 de enero de 2026

Issue #6723

Dependencia: grapesjs >=0.21.13 Depende de las versiones vulnerables del guion bajo

Versión GrapesJS [x] Confirmo que uso la última versión de GrapesJS ¿Qué navegador usas? Edge, mozilla Enlace de demo reproducible NA Descr...

2 respuestasActualizado el 31 de marzo de 2026

Issue #5743

Vulnerabilidad XSS en el atributo iframe src

Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Edge v122 Enlace de demo reproducible htt...

4 respuestasActualizado el 14 de marzo de 2024

Issue #3622

Funcionalidad del I18n

Versión: última ¿Puedes reproducir el error de la demo?[] Sí[ ] No ¿Cuál es el comportamiento esperado? a editor. I18n.setLocale(es") funci...

4 respuestasActualizado el 3 de febrero de 2026

Plugins de pago que cumplen con este problema

Seleccionado por temas clave y relevancia de etiquetas para ayudarte a enviar más rápido.

Ver todos los plugins

Cargando recomendaciones de plugins de pago...

Opción gratuita

Consulta los plugins de código abierto de GrapesJS en GitHub O haz una búsqueda rápida en nuestro catálogo gratuito.

Explora plugins gratuitos →
Opción premium

Los plugins premium incluyen soporte, actualizaciones regulares y funciones listas para producción — ahorrando días de trabajo de integración.

Explora plugins premium →

Tutoriales relacionados

Guías detalladas sobre el mismo tema.

Todos los tutoriales →

Tutorial

Find the Right GrapesJS Plugin in Seconds: Smarter Discovery Is Live

We're shipping a set of discovery upgrades. New label filters, a proper compatibility switch for GrapesJS vs Studio, one-click and a smarter sort bar.

Tutorial

AutographJS - Signature Solution for Modern Web Editors

The Problem: Signature Capture Is Still Harder Than It Should Be

Tutorial

ScribeJS: Lightweight Inline Rich Text Editor

In the world of web development, rich text editors often feel bulky, slow, and difficult to integrate.

Explorar categorías de plugins

Ve directamente a las páginas de categorías de plugins en el marketplace.

PresetsPluginsComponentesBloquesActivosMandosI18nCapasEstilosAlmacenesRTEBoletinesPáginas webConstructores de terrenos