CVE-2020-28503 Prototype Pollution (copy-props) in assets/ wie beheben?
Hallo zusammen,
ich stehe hier gerade völlig auf dem Schlauch.
Unsere Seite fing mal mit Contao 3.x an und ist jetzt auf 4.9.39, gehostet auf einem eigenen Unternehmens-Server (Debian), auf den ich auch (eingeschränkten) Zugriff habe. Das Update erfolgte mit Contao-Manager, beim letzten Update von 4.9.27 auf 4.9.39 gab es keinerlei Probleme.
Nun hat unser Git mich darauf hingewiesen, dass in mehreren "package-lock.json" im Ordner assets/ (u.a. assets/contao/, assets/colorpicker/) das Package "copy-props" in der Version 2.0.4 eingetragen ist. Das sieht dann z.B. so aus:
Code:
{
"name": "contao",
"lockfileVersion": 2,
"requires": true,
"packages": {
"": {
"devDependencies": {
"gulp": "^4.0.2",
"gulp-csso": "^4.0.1",
"gulp-ignore": "^3.0.0",
"gulp-rename": "^2.0.0",
"gulp-svgo": "^2.2.1",
"pump": "^3.0.0"
}
},
[...],
"node_modules/copy-props": {
"version": "2.0.4",
"resolved": "https://registry.npmjs.org/copy-props/-/copy-props-2.0.4.tgz",
"integrity": "sha512-7cjuUME+p+S3HZlbllgsn2CDwS+5eCCX16qBgNC4jgSTf49qR1VKy/Zhl400m0IQXl/bPGEVqncgUUMjrr4s8A==",
"dev": true,
"dependencies": {
"each-props": "^1.3.0",
"is-plain-object": "^2.0.1"
}
},
Unterhalb von Version 2.0.5 gäbe es aber die Sicherheitslücke "CVE-2020-28503 Prototype Pollution", sodass ein Update erfolgen muss.
Nun habe ich aber außer in den "package-lock.json" nirgendwo eine Erwähnung von "copy-props" gefunden. Wo und wie kann ich Contao sagen, die auf Version 2.0.5 zu erhöhen? Oder sind diese lock-Dateien nur Überbleibsel von den Versionssprüngen? Wie kann ich prüfen, ob die noch relevant sind?
Viele Grüße
Boris
