search

protobi / js-xlsx

XLSX / XLSM / XLSB (Excel 2007+ Spreadsheet) / ODS parser and writer
http://oss.sheetjs.com/js-xlsx
Other
831 stars 416 forks source link

Denial of Service (DoS) affecting package jszip. #186

Open Giancarlo1974 opened 9 months ago

Giancarlo1974 commented 9 months ago

high │ JSZip contains Path Traversal via loadAsync │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ jszip │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=3.8.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ xlsx-style │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ xlsx-style > jszip │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1091267 │ └───────────────┴──────────────────────────────────────────────────────────────┘ ┌───────────────┬──────────────────────────────────────────────────────────────┐ │ moderate │ jszip Vulnerable to Prototype Pollution │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Package │ jszip │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Patched in │ >=2.7.0 │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Dependency of │ xlsx-style │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ Path │ xlsx-style > jszip │ ├───────────────┼──────────────────────────────────────────────────────────────┤ │ More info │ https://www.npmjs.com/advisories/1094050