Как исправить уязвимость «xml2js» в отчете об аудите npm для пакетов надстроек Microsoft Office?
Я разрабатываю надстройку Microsoft Office PowerPoint React, используя различные пакеты. Я использовал Yeoman, чтобы начать работу с примером надстройки. Позже я установил «antd» и «react-router-dom». Однако после запуска аудита npm я получил сообщение с указанием 9 уязвимостей высокой степени серьезности, причем наиболее критическая из них связана с пакетом xml2js. Полное сообщение отчета об аудите приведено ниже. Поскольку от xml2js зависит несколько пакетов, и в настоящее время нет доступного исправления для этой уязвимости, я беспокоюсь о безопасности своей надстройки. Не могли бы вы предоставить шаги, которые я могу предпринять, чтобы устранить эту уязвимость и обеспечить безопасность моей надстройки?
Заранее спасибо за вашу помощь.
PD: Моя текущая среда включает Node v18.15.0, React v17.0.2 и React-Router-DOM v5.3.4».
# npm audit report
xml2js <0.5.0
Severity: high
xml2js is vulnerable to prototype pollution - https://github.com/advisories/GHSA-776f-qx25-q3cc
No fix available
node_modules/xml2js
@azure/core-http <=3.0.0
Depends on vulnerable versions of xml2js
node_modules/@azure/core-http
node_modules/@azure/storage-blob/node_modules/@azure/core-http
@microsoft/teamsfx-api *
Depends on vulnerable versions of @azure/core-http
node_modules/@microsoft/teamsfx-api
@microsoft/teamsfx-core *
Depends on vulnerable versions of @microsoft/teamsfx-api
Depends on vulnerable versions of office-addin-manifest
Depends on vulnerable versions of xml2js
node_modules/@microsoft/teamsfx-core
@microsoft/teamsfx-cli *
Depends on vulnerable versions of @azure/core-http
Depends on vulnerable versions of @microsoft/teamsfx-api
Depends on vulnerable versions of @microsoft/teamsfx-core
node_modules/@microsoft/teamsfx-cli
office-addin-dev-settings *
Depends on vulnerable versions of @microsoft/teamsfx-cli
Depends on vulnerable versions of office-addin-manifest
node_modules/office-addin-dev-settings
@azure/ms-rest-js <=2.6.4
Depends on vulnerable versions of xml2js
node_modules/@azure/ms-rest-js
office-addin-manifest *
Depends on vulnerable versions of xml2js
node_modules/office-addin-manifest
office-addin-debugging *
Depends on vulnerable versions of office-addin-dev-settings
Depends on vulnerable versions of office-addin-manifest
node_modules/office-addin-debugging
9 high severity vulnerabilities
To address issues that do not require attention, run:
npm audit fix
Some issues need review, and may require choosing
a different dependency.
Я не пытался удалить xml2js, как следует из приведенного ниже вопроса, потому что я не думаю, что это решение имеет отношение к надстройке MS Office, которую я разрабатываю.
Спасибо за помощь. Да, я сейчас пробую это после вашего комментария. Воспользовался инструкцией по опубликованной ссылке. У меня сейчас нет предупреждений об уязвимости. Однако я хотел знать, не создадут ли проблемы другие зависимости, косвенно связанные с xml2js и имеющие отношение к надстройке.
Ответы 1
Веб-надстройки Office можно рассматривать как обычные веб-приложения на основе NodeJS. Таким образом, одни и те же правила безопасности могут применяться как к веб-надстройкам, так и к веб-приложениям. По размещенной ссылке приведены возможные решения проблемы.
Пробовали ли вы перейти по опубликованной ссылке и внедрить там предложенное решение?