由于 css-什么原因导致 react-svg-loader 版本 3.03 中的拒绝服务？

Question

由于 css-what.

，React 解决方案在 react-svg-loader 版本 3.03 中出现拒绝服务，导致 npm-audit 中存在一个高漏洞

问题的可能解决方案是什么？

问题如下图：

───────────────┴──────────────────────────────────────────────────────────────┘
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Denial of Service                                            │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ css-what                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Patched in    │ >=5.0.1                                                      │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ react-svg-loader                                             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ react-svg-loader > react-svg-core > svgo > css-select >      │
│               │ css-what                                                     │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://npmjs.com/advisories/1754                            │
└───────────────┴─────────────────────────────────────────────────────────────

Answer 1

我尝试用 https://www.npmjs.com/package/svg-react-loader 替换 react-svg-loader。它做了同样的事情，只是我们需要更改包和 web pack 配置。目前没有任何漏洞。

由于 css-什么原因导致 react-svg-loader 版本 3.03 中的拒绝服务？

Denial of Service in react-svg-loader version 3.03 due to css-what?

javascript

security

svg

node.js

reactjs