在我的 React Native 应用程序中,我遇到了 css-what 漏洞。有没有人解决这个问题?
高 │ 拒绝服务 │ ├────────────────┼────────────────────────────────── ────────────────────────────────┤ │ 包 │ css-what │ ├────────────────┼────────────────────────────────── ────────────────────────────────┤ │ 补丁 │ >=5.0.1 │ ├────────────────┼────────────────────────────────── ────────────────────────────────┤ │ 依赖 │ @svgr/webpack │ ├────────────────┼────────────────────────────────── ────────────────────────────────┤ │ 路径│ @svgr/webpack > @svgr/plugin-svgo > svgo > css-select > │ │ │ css-what │ ├────────────────┼────────────────────────────────── ────────────────────────────────┤ │ 更多信息│ https://npmjs.com/advisories/1754
高 │ 拒绝服务 │ ├────────────────┼────────────────────────────────── ────────────────────────────────┤ │ 包 │ css-what │ ├────────────────┼────────────────────────────────── ────────────────────────────────┤ │ 补丁 │ >=5.0.1 │ ├────────────────┼────────────────────────────────── ────────────────────────────────┤ │ 依赖 │ optimize-css-assets-webpack-plugin │ ├────────────────┼────────────────────────────────── ────────────────────────────────┤ │ 路径│ optimize-css-assets-webpack-plugin > cssnano > │ │ │ cssnano-preset-default > postcss-svgo > svgo > css-select > │ │ │ css-what │ ├────────────────┼────────────────────────────────── ────────────────────────────────┤ │ 更多信息│ https://npmjs.com/advisories/1754
答案 0 :(得分:0)
如果您不想点击链接
<块引用>概述css-what 5.0.1之前不保证属性解析 相对于输入的大小具有线性时间复杂度。
修复升级到 5.0.1 或更高版本
资源 CVE GitHub 咨询
我假设您或您的一个软件包仍在使用 css - 没有修复的旧版本。
答案 1 :(得分:0)
虽然我在我的 reactjs 应用程序上遇到了同样的问题(不是在 React-native 中),但我相信我如何解决这个问题可能会在某种程度上帮助你。
我的本地系统有 2 个 Node 版本。 nvm ls 结果 v11.0.0、v13.6.0。
如果我在 npm start 上执行 v13.6.0 I 总是遇到上述问题 (css-what Denial of Service vulnerability)。
我知道这是在 react-scripts->css-assets-webpack-plugin->cssnano->cssnano-preset-default-> 层次结构之间使用的 css-what 版本之一中版本不匹配的 bcz postcss-svgo->svgo->css-select->css-what
为了不让这样的版本在我的应用中不匹配,我使用了 v11.0.0。
我执行了nvm use v11.0.0
然后从 npm start 永远不会给出这样的错误。我什至不必进行审核修复(尽管 audit fix --force 从未解决我的问题)。