Schwachstelle im XLSX-Paket gefunden, aber kein aktualisiertes Paket verfügbar

Question

Ich verwende XLSX im JS-Code. Es funktioniert seit letztem Jahr großartig. Heute traten Probleme auf und der Build schlug fehl. Denn:

$ yarn audit: 

yarn audit v1.22.19
┌─────────────────────────────────────────────────────────────────────────────
│ moderate: Prototype Pollution in sheetJS                               
├─────────────────────────────────────────────────────────────────────────────
│ Package: xlsx                                                         
├─────────────────────────────────────────────────────────────────────────────
│ Patched in: >=0.19.3                                                     
├─────────────────────────────────────────────────────────────────────────────
│ Dependency of: xlsx                                                         
├─────────────────────────────────────────────────────────────────────────────
│ Path: xlsx                                                         
├─────────────────────────────────────────────────────────────────────────────
│ More info: https://www.npmjs.com/advisories/1091817                     
└─────────────────────────────────────────────────────────────────────────────

Natürlich besteht die Lösung darin, auf Version 0.19.3 oder höher zu aktualisieren, aber die neueste Version ist 0.18.5, weil: https://www.npmjs.com/package/xlsx?activeTab=readme.

Gibt es eine Möglichkeit, dieses Problem zu lösen?

Answer 1

正如 README 中所述，该项目不再在 GitHub 上维护，也不再发布到 npm。尝试从以下链接安装： https://cdn.sheetjs .com/xlsx-0.19.3/xlsx-0.19.3.tgz。在您的 package.json 文件中添加以下内容：

"xlsx": "https://cdn.sheetjs.com/xlsx-0.19.3/xlsx-0.19.3.tgz"