搜索

首页  >  问答  >  正文

发现 XLSX 软件包漏洞,但没有更新的软件包

我在 js 代码中使用 xlsx。从去年开始就运转良好。今天我开始遇到问题并且构建失败。由于:

$ yarn audit: 

yarn audit v1.22.19
┌─────────────────────────────────────────────────────────────────────────────
│ moderate: Prototype Pollution in sheetJS                               
├─────────────────────────────────────────────────────────────────────────────
│ Package: xlsx                                                         
├─────────────────────────────────────────────────────────────────────────────
│ Patched in: >=0.19.3                                                     
├─────────────────────────────────────────────────────────────────────────────
│ Dependency of: xlsx                                                         
├─────────────────────────────────────────────────────────────────────────────
│ Path: xlsx                                                         
├─────────────────────────────────────────────────────────────────────────────
│ More info: https://www.npmjs.com/advisories/1091817                     
└─────────────────────────────────────────────────────────────────────────────

很明显,解决方案是升级到版本 0.19.3 或更高版本,但最新版本是 0.18.5,因为:https://www.npmjs.com/package/xlsx?activeTab=readme。

有什么办法可以解决这个问题吗?

P粉221046425P粉221046425377 天前727

全部回复(1)我来回复

  • P粉785905797

    P粉7859057972024-01-22 14:47:51

    正如 README 中所述,该项目不再在 GitHub 上维护,也不再发布到 npm。尝试从以下链接安装: https://cdn.sheetjs .com/xlsx-0.19.3/xlsx-0.19.3.tgz。在您的 package.json 文件中添加以下内容:

    "xlsx": "https://cdn.sheetjs.com/xlsx-0.19.3/xlsx-0.19.3.tgz"
    

    回复
    0
  • 取消回复