[security] deps: vulnerability in vitest (critical) #237

Closed
opened 2026-07-01 00:48:20 +00:00 by maximus · 0 comments
Owner

Contexte

Detecte par le Defenseur defenseur-simpl-resultat (npm audit) le 2026-06-30. Vulnerabilite CRITICAL GHSA-5xrq-8626-4rwp ("When Vitest UI server is listening, arbitrary file can be read and executed"), range affecte >=4.0.0 <4.1.0. vitest@4.0.18 installe, devDependency directe.

Severite critique mais surface reelle limitee : necessite que le serveur UI Vitest (vitest --ui) soit lance et ecoute (dev-only, jamais en prod/CI standard).

Travail a faire

  • Bumper vitest en ^4.1.9 dans package.json (devDependencies)
  • npm install pour regenerer package-lock.json
  • Verifier npm ls vitest -> >=4.1.9, npm audit ne liste plus ce CVE

Fichiers concernes

  • package.json (version de vitest)
  • package-lock.json (regenere)

Surface de test

Suite de tests -- verifier que npm test passe toujours apres le bump (4.0.x -> 4.1.x, changements internes possibles).

Criteres d'acceptation

  • npm audit --json | jq '.vulnerabilities.vitest' vide
  • npm ls vitest >= 4.1.9
  • npm test passe toujours

Complexite estimee

Simple (bump direct), a verifier : absence de breaking change 4.0->4.1 dans les specs existantes.

## Contexte Detecte par le Defenseur **defenseur-simpl-resultat** (npm audit) le 2026-06-30. Vulnerabilite CRITICAL GHSA-5xrq-8626-4rwp ("When Vitest UI server is listening, arbitrary file can be read and executed"), range affecte `>=4.0.0 <4.1.0`. `vitest@4.0.18` installe, devDependency directe. Severite critique mais surface reelle limitee : necessite que le serveur UI Vitest (`vitest --ui`) soit lance et ecoute (dev-only, jamais en prod/CI standard). ## Travail a faire - [ ] Bumper `vitest` en `^4.1.9` dans `package.json` (devDependencies) - [ ] `npm install` pour regenerer `package-lock.json` - [ ] Verifier `npm ls vitest` -> `>=4.1.9`, `npm audit` ne liste plus ce CVE ## Fichiers concernes - `package.json` (version de `vitest`) - `package-lock.json` (regenere) ## Surface de test Suite de tests -- verifier que `npm test` passe toujours apres le bump (4.0.x -> 4.1.x, changements internes possibles). ## Criteres d'acceptation - [ ] `npm audit --json | jq '.vulnerabilities.vitest'` vide - [ ] `npm ls vitest` >= 4.1.9 - [ ] `npm test` passe toujours ## Complexite estimee Simple (bump direct), a verifier : absence de breaking change 4.0->4.1 dans les specs existantes.
maximus added the
status:ready
type:security
source:defenseur
labels 2026-07-01 00:48:20 +00:00
maximus added this to the deps-security-2026-07 milestone 2026-07-01 12:35:40 +00:00
maximus added
status:approved
and removed
status:ready
labels 2026-07-02 00:02:39 +00:00
Sign in to join this conversation.
No project
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/Simpl-Resultat#237
No description provided.