[security] deps: vulnerability in vite (high) #236

Closed
opened 2026-07-01 00:48:18 +00:00 by maximus · 0 comments
Owner

Contexte

Detecte par le Defenseur defenseur-simpl-resultat (npm audit) le 2026-06-30. Vulnerabilite HIGH sur vite@6.4.2, range affecte <=6.4.2 :

  • GHSA-v6wh-96g9-6wx3 (moderate) -- launch-editor: NTLMv2 hash disclosure via UNC path handling on Windows
  • GHSA-fx2h-pf6j-xcff (high) -- vite: server.fs.deny bypass on Windows alternate paths

vite est une devDependency directe. Plusieurs chemins (@tailwindcss/vite, @vitejs/plugin-react, vitest) sont tous deja deduped a la meme version -- un bump direct suffit, pas d'override necessaire.

Travail a faire

  • Bumper vite en ^6.4.3 dans package.json (devDependencies)
  • npm install pour regenerer package-lock.json
  • Verifier npm ls vite -> une seule version >=6.4.3 (deduped), npm audit ne liste plus ce CVE

Fichiers concernes

  • package.json (version de vite)
  • package-lock.json (regenere)

Surface de test

Aucune (dev-only : build tool + tests). Verification : npm run build (ou equivalent Tauri) et npm test passent toujours.

Criteres d'acceptation

  • npm audit --json | jq '.vulnerabilities.vite' vide
  • npm ls vite >= 6.4.3, dedupe (une seule version)
  • Build + tests passent toujours

Complexite estimee

Simple.

## Contexte Detecte par le Defenseur **defenseur-simpl-resultat** (npm audit) le 2026-06-30. Vulnerabilite HIGH sur `vite@6.4.2`, range affecte `<=6.4.2` : - GHSA-v6wh-96g9-6wx3 (moderate) -- launch-editor: NTLMv2 hash disclosure via UNC path handling on Windows - GHSA-fx2h-pf6j-xcff (high) -- vite: `server.fs.deny` bypass on Windows alternate paths `vite` est une devDependency directe. Plusieurs chemins (`@tailwindcss/vite`, `@vitejs/plugin-react`, `vitest`) sont tous deja deduped a la meme version -- un bump direct suffit, pas d'override necessaire. ## Travail a faire - [ ] Bumper `vite` en `^6.4.3` dans `package.json` (devDependencies) - [ ] `npm install` pour regenerer `package-lock.json` - [ ] Verifier `npm ls vite` -> une seule version `>=6.4.3` (deduped), `npm audit` ne liste plus ce CVE ## Fichiers concernes - `package.json` (version de `vite`) - `package-lock.json` (regenere) ## Surface de test Aucune (dev-only : build tool + tests). Verification : `npm run build` (ou equivalent Tauri) et `npm test` passent toujours. ## Criteres d'acceptation - [ ] `npm audit --json | jq '.vulnerabilities.vite'` vide - [ ] `npm ls vite` >= 6.4.3, dedupe (une seule version) - [ ] Build + tests passent toujours ## Complexite estimee Simple.
maximus added the
status:ready
type:security
source:defenseur
labels 2026-07-01 00:48:18 +00:00
maximus added this to the deps-security-2026-07 milestone 2026-07-01 12:35:40 +00:00
maximus added
status:approved
and removed
status:ready
labels 2026-07-02 00:02:39 +00:00
Sign in to join this conversation.
No project
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/Simpl-Resultat#236
No description provided.