1.背景
npm audit でxlsxの脆弱性があることを知った為です。
xlsx *
Severity: high
Prototype Pollution in sheetJS - https://github.com/advisories/GHSA-4r6h-8v6p-xvw6
No fix available
node_modules/xlsx
2.内容
SheetJS CE 0.19.2までのすべてのバージョンには、特別に細工されたファイルを読み込む際の「プロトタイプ汚染」の脆弱性があります。任意のファイルを読み込まないワークフロー(例えば、表計算ファイルへのデータのエクスポート)は影響を受けません。
GitHub でホストされているリポジトリと npm パッケージ xlsx はもはや保守されていないため、脆弱性のないバージョンを npm 経由で見つけることはできません。
3.対応策
npm rm --save xlsx
npm i --save https://cdn.sheetjs.com/xlsx-0.20.1/xlsx-0.20.1.tgz
pnpm rm xlsx
pnpm install https://cdn.sheetjs.com/xlsx-0.20.1/xlsx-0.20.1.tgz
yarn remove xlsx
yarn add https://cdn.sheetjs.com/xlsx-0.20.1/xlsx-0.20.1.tgz