Vulnérabilité du package XLSX trouvée, mais aucun package mis à jour disponible

Question

J'utilise xlsx dans le code js. Cela fonctionne très bien depuis l'année dernière. Aujourd'hui, j'ai commencé à avoir des problèmes et la construction a échoué. Parce que :

$ yarn audit: 

yarn audit v1.22.19
┌─────────────────────────────────────────────────────────────────────────────
│ moderate: Prototype Pollution in sheetJS                               
├─────────────────────────────────────────────────────────────────────────────
│ Package: xlsx                                                         
├─────────────────────────────────────────────────────────────────────────────
│ Patched in: >=0.19.3                                                     
├─────────────────────────────────────────────────────────────────────────────
│ Dependency of: xlsx                                                         
├─────────────────────────────────────────────────────────────────────────────
│ Path: xlsx                                                         
├─────────────────────────────────────────────────────────────────────────────
│ More info: https://www.npmjs.com/advisories/1091817                     
└─────────────────────────────────────────────────────────────────────────────

Évidemment, la solution est de passer à la version 0.19.3 ou supérieure, mais la dernière version est la 0.18.5 car : https://www.npmjs.com/package/xlsx?activeTab=readme.

Y a-t-il un moyen de résoudre ce problème ?

Answer 1

Comme indiqué dans le README, ce projet n'est plus maintenu sur GitHub et n'est plus publié sur npm. Essayez d'installer à partir du lien suivant : https://cdn.sheetjs.com/xlsx-0.19.3/xlsx-0.19.3.tgz. Ajoutez ce qui suit à votre fichier package.json :

"xlsx": "https://cdn.sheetjs.com/xlsx-0.19.3/xlsx-0.19.3.tgz"