[security] deps: vulnerability in react-router (high) #235

Closed
opened 2026-07-01 00:48:17 +00:00 by maximus · 0 comments
Owner

Contexte

Detecte par le Defenseur defenseur-simpl-resultat (npm audit) le 2026-06-30. react-router@7.13.0 est concerne par 7 advisories (4 high + 3 moderate/low), les plus severes :

  • GHSA-49rj-9fvp-4h2h (high) -- turbo-stream v2 vendore permet l'invocation arbitraire de constructeur via deserialisation TYPE_ERROR, menant a un RCE non authentifie
  • GHSA-8x6r-g9mw-2r78 (high) -- DoS via expansion non bornee de chemin sur l'endpoint __manifest
  • GHSA-rxv8-25v2-qmq8 (high) -- DoS via input utilisateur reflete en single-fetch
  • GHSA-8646-j5j9-6r62 (high) -- XSS dans le handling de redirect RSC (unstable) via cibles javascript:

Corrigees au plus tard en <7.15.1. Range affecte global : >=7.0.0 <=7.15.0.

Chaine transitive unique : react-router-dom@7.13.0 -> react-router@7.13.0 (react-router n'est pas une dependance directe). Bumper react-router-dom (issue #238, meme run) suffit a resoudre cette vulnerabilite : react-router-dom declare une range compatible pour react-router, la mise a jour du parent entrainera la mise a jour transitive.

Travail a faire

  • Traiter conjointement avec #238 : bumper react-router-dom en ^7.18.1 dans package.json
  • npm install pour regenerer package-lock.json
  • Verifier npm ls react-router -> >=7.15.1, npm audit ne liste plus ces CVE

Fichiers concernes

  • package.json (version de react-router-dom)
  • package-lock.json (regenere)

Surface de test

Routing de l'app desktop (Tauri) -- verifier la navigation entre les vues principales apres bump. Pas de breaking change attendu (bump mineur/patch, pas de major).

Criteres d'acceptation

  • npm audit --json | jq '.vulnerabilities."react-router"' vide
  • npm ls react-router >= 7.15.1
  • Navigation manuelle de l'app apres bump : OK

Complexite estimee

Simple (bump direct, pas d'override necessaire).

References

Meme fix que #238 (react-router-dom) -- 1 seul commit resout les deux, ne pas creer 2 PRs separees.

## Contexte Detecte par le Defenseur **defenseur-simpl-resultat** (npm audit) le 2026-06-30. `react-router@7.13.0` est concerne par 7 advisories (4 high + 3 moderate/low), les plus severes : - GHSA-49rj-9fvp-4h2h (high) -- turbo-stream v2 vendore permet l'invocation arbitraire de constructeur via deserialisation TYPE_ERROR, menant a un RCE non authentifie - GHSA-8x6r-g9mw-2r78 (high) -- DoS via expansion non bornee de chemin sur l'endpoint `__manifest` - GHSA-rxv8-25v2-qmq8 (high) -- DoS via input utilisateur reflete en single-fetch - GHSA-8646-j5j9-6r62 (high) -- XSS dans le handling de redirect RSC (unstable) via cibles `javascript:` Corrigees au plus tard en `<7.15.1`. Range affecte global : `>=7.0.0 <=7.15.0`. Chaine transitive unique : `react-router-dom@7.13.0 -> react-router@7.13.0` (`react-router` n'est pas une dependance directe). **Bumper `react-router-dom` (issue #238, meme run) suffit a resoudre cette vulnerabilite** : `react-router-dom` declare une range compatible pour `react-router`, la mise a jour du parent entrainera la mise a jour transitive. ## Travail a faire - [ ] Traiter conjointement avec #238 : bumper `react-router-dom` en `^7.18.1` dans `package.json` - [ ] `npm install` pour regenerer `package-lock.json` - [ ] Verifier `npm ls react-router` -> `>=7.15.1`, `npm audit` ne liste plus ces CVE ## Fichiers concernes - `package.json` (version de `react-router-dom`) - `package-lock.json` (regenere) ## Surface de test Routing de l'app desktop (Tauri) -- verifier la navigation entre les vues principales apres bump. Pas de breaking change attendu (bump mineur/patch, pas de major). ## Criteres d'acceptation - [ ] `npm audit --json | jq '.vulnerabilities."react-router"'` vide - [ ] `npm ls react-router` >= 7.15.1 - [ ] Navigation manuelle de l'app apres bump : OK ## Complexite estimee Simple (bump direct, pas d'override necessaire). ## References Meme fix que #238 (react-router-dom) -- 1 seul commit resout les deux, ne pas creer 2 PRs separees.
maximus added the
status:ready
type:security
source:defenseur
labels 2026-07-01 00:48:17 +00:00
maximus added this to the deps-security-2026-07 milestone 2026-07-01 12:35:40 +00:00
maximus added
status:review
and removed
status:ready
labels 2026-07-01 12:42:24 +00:00
maximus added
status:approved
and removed
status:review
labels 2026-07-01 12:43:14 +00:00
Sign in to join this conversation.
No project
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/Simpl-Resultat#235
No description provided.