The issue has been closed

我使用的是4.1.34版本，当我用npm audit 我发现了高危漏洞关于 d3-color #4423

adseng posted onGitHub

我又试了 4.2.0 和 4.2.8 版本，都有问题。

这是检查报告

High            d3-color vulnerable to ReDoS

  Package         d3-color

  Patched in      >=3.1.0

  Dependency of   @antv/g2

  Path            @antv/g2 > @antv/g-base > d3-interpolate > d3-color

  More info       https://github.com/advisories/GHSA-36jr-mh4h-2g58


  High            d3-color vulnerable to ReDoS

  Package         d3-color

  Patched in      >=3.1.0

  Dependency of   @antv/g2

  Path            @antv/g2 > @antv/component > @antv/g-base > d3-interpolate >
                  d3-color

  More info       https://github.com/advisories/GHSA-36jr-mh4h-2g58

@xiaoiver G 层升级一下吧！

posted by hustcc over 2 years ago

已升级 v3 的 d3-interpolate，G 4.0 相关依赖已更新：

@antv/g-base => 0.5.12
@antv/g-canvas => 0.5.13
@antv/g-math => 0.1.9
@antv/g-svg => 0.5.7

需要 G2 4.0 发布新版解决。

posted by xiaoiver over 2 years ago

已升级 v3 的 d3-interpolate，G 4.0 相关依赖已更新：

@antv/g-base => 0.5.12

@antv/g-canvas => 0.5.13

@antv/g-math => 0.1.9

@antv/g-svg => 0.5.7

需要 G2 4.0 发布新版解决。

应该用户直接 update 就可以直接生效吧，G2 没有写死依赖的 G 版本。

posted by hustcc over 2 years ago

嗯是的，NPM 方式使用的话现在重新安装依赖即可。

posted by xiaoiver over 2 years ago

Fund this Issue

$0.00

Funded

Pull requests

我使用的是4.1.34版本，当我用npm audit 我发现了高危漏洞关于 d3-color #4423

这是检查报告

Company

Community

Support

Connect