Recibo una de las vulnerabilidades altas en el proyecto angular es 'Consumo de recursos no controlado en ansi-html'.
Tengo algunas más de este tipo de vulnerabilidades altas, pero se solucionan agregando la sección 'resoluciones' en el archivo package.json y en la sección de scripts agregó "preinstalación": "npx npm-force-solutions". Las vulnerabilidades que había arreglado venían parcheadas con una versión como 'Patched in │ >=4.0.1'. Pero esto vino con 'No hay parche disponible'. Así que me estoy confundiendo un poco para arreglar esto. ¿Alguien tiene idea, cómo arreglar esto? Gracias
Si no usa ansi-html
directamente pero depende de las dependencias que lo usan, debe configurar una sección de resolutions
en package.json
. (Nunca debe editar package-lock.json
directamente, ya que se regenera cada vez que ejecuta npm install
). Solo necesita proporcionar un enlace al tarball donde normalmente especificaría el número de versión principal. Su sección de resoluciones de package.json
debería verse así:
"resolutions": { "ansi-html": "https://registry.npmjs.org/ansi-html-community/-/ansi-html-community-0.0.8.tgz" }
Por favor, consulte esta publicación para más detalles:
El consumo descontrolado de recursos en ansi-html (CVE-2021-23424) es una vulnerabilidad que no será reparada por el autor del proyecto, ya que se abandonó y no habrá una versión parcheada de ansi-html .
Solo tienes que ir a package-lock.json y encontrar la línea con:
"ansi-html": { "version": "0.0.7", "resolved": "https://registry.npmjs.org/ansi-html/-/ansi-html-0.0.7.tgz", "integrity": "sha1-gTWEAhliqenm/QOflA0S9WynhZ4="
Y reemplaza con esto:
"ansi-html-community": { "version": "0.0.8", "resolved": "https://registry.npmjs.org/ansi-html-community/-/ansi-html-community-0.0.8.tgz", "integrity": "sha512-1APHAyr3+PCamwNw3bXCPp4HFLONZt/yIH0sZp0/469KWNTEy+qN5jQ3GVX6DMZ1UXAi34yVwtTeaG/HpBuuzw=="
Y esta línea en el mismo archivo:
"dependencies": { "ansi-html": "^0.0.7",
Reemplazar con:
"dependencies": { "ansi-html-community": "^0.0.8",
Luego simplemente escriba npm update
y eso es todo.
Puedes obtener más información en este enlace .
Y revisa todo el compromiso aquí .
¡Actualizar su Angular a la última versión (Angular 13 es la última versión por ahora) resolverá su problema! ¡Salud!