Dependencia: grapesjs >=0.21.13 Depende de las versiones vulnerables del guion bajo
Gracias por el informe @tiburciomzt El bump se fusionó y pronto será liberado.
Lee la respuesta completa abajo ↓Pregunta
Versión GrapesJS
- Confirmo que uso la última versión de GrapesJS
¿Qué navegador usas?
Edge, mozilla
Enlace de demo reproducible
NA
Describe el bicho
guión bajo <=1,13,7 Gravedad: alta guión bajo <=1,13,7 Gravedad: alta Underscore tiene recursión ilimitada en _.flatten y _.isEqual, potencial para ataque DoS - https://github.com/advisories/GHSA-qpx9-hpmf-5gmw Corrección disponible a través de 'NPM Audit Fix ---Force' Instalaré [email protected], lo cual es un cambio rotundo node_modules/subguión grapesjs >=0.21.13 Depende de las versiones vulnerables del guion bajo node_modules/grapesjs
Código de conducta
- Acepto seguir el Código de Conducta de este proyecto
Respuestas (2)
Gracias por el informe @tiburciomzt
El bump se fusionó y pronto será liberado.
Gracias por informar de esto, @tiburciomzt.
Los problemas de seguridad y dependencias son importantes. El equipo de GrapesJS trabaja activamente para mantener las dependencias actualizadas.
Para ti ahora mismo:
- Ejecutar 'npm audit fix' para ver los parches disponibles
- Busca una versión más reciente de GrapesJS que ya haya solucionado esto
- Si está disponible, prueba la última versión estable antes de actualizar
- Si la vulnerabilidad es crítica, 'npm audit fix ---force' es una opción, pero prueba a fondo
Entendiendo el riesgo:
- Revisar los detalles específicos de vulnerabilidades en los Avisos de Seguridad de GitHub
- No todos los problemas de alta gravedad afectan a tu ruta de código
- Algunas vulnerabilidades solo se activan bajo condiciones específicas
Manteniéndome al día:
- Atentos a nuevos lanzamientos de GrapesJS
- Suscribirse a las notificaciones de seguridad en el repositorio
- El equipo prioriza las actualizaciones de seguridad en su ciclo de lanzamiento
Preguntas y respuestas relacionadas
Continúa investigando con debates sobre temas similares.
Issue #5743
Vulnerabilidad XSS en el atributo iframe src
Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Edge v122 Enlace de demo reproducible htt...
Issue #6690
Violaciones del CSP
Versión GrapesJS [x] Confirmo que uso la última versión de GrapesJS ¿Qué navegador usas? Chrome 143.0.7499.193 Enlace de demo reproducible...
Issue #6211
Demasiada recursión
Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Firefox 131.0.2 Enlace de demo reproducib...
Issue #5742
Construyendo en Windows 10+
Versión GrapesJS [X] Confirmo que se debe usar la última versión de GrapesJS ¿Qué navegador usas? Chrome v122 Enlace de demo reproducible N...
Plugins de pago que cumplen con este problema
Seleccionado por temas clave y relevancia de etiquetas para ayudarte a enviar más rápido.
Cargando recomendaciones de plugins de pago...
Consulta los plugins de código abierto de GrapesJS en GitHub O haz una búsqueda rápida en nuestro catálogo gratuito.
Explora plugins gratuitos →Los plugins premium incluyen soporte, actualizaciones regulares y funciones listas para producción — ahorrando días de trabajo de integración.
Explora plugins premium →Tutoriales relacionados
Guías detalladas sobre el mismo tema.
Tutorial
Find the Right GrapesJS Plugin in Seconds: Smarter Discovery Is Live
We're shipping a set of discovery upgrades. New label filters, a proper compatibility switch for GrapesJS vs Studio, one-click and a smarter sort bar.
Tutorial
AutographJS - Signature Solution for Modern Web Editors
The Problem: Signature Capture Is Still Harder Than It Should Be
Tutorial
ScribeJS: Lightweight Inline Rich Text Editor
In the world of web development, rich text editors often feel bulky, slow, and difficult to integrate.
Explorar categorías de plugins
Ve directamente a las páginas de categorías de plugins en el marketplace.