[security] deps: vulnerability in react-router-dom (high) #238

Closed
opened 2026-07-01 00:48:42 +00:00 by maximus · 0 comments
Owner

Contexte

Detecte par le Defenseur defenseur-simpl-resultat (npm audit) le 2026-06-30. react-router-dom@7.13.0 est une dependance directe ; sa vulnerabilite est heritee de react-router@7.13.0 (voir issue #235) -- meme jeu de 7 advisories (turbo-stream RCE, DoS __manifest, DoS single-fetch, XSS RSC redirect, etc.), range affecte >=7.0.0-pre.0 <=7.14.1.

Le fix est le meme que #235 : bumper react-router-dom resout les deux issues en un seul commit (le parent tire react-router a une version compatible et corrigee).

Travail a faire

  • Bumper react-router-dom en ^7.18.1 dans package.json (dependencies) -- traite conjointement avec #235
  • npm install pour regenerer package-lock.json
  • Verifier npm ls react-router-dom -> >=7.18.1, npm audit ne liste plus ces CVE (ni sur react-router-dom ni sur react-router)

Fichiers concernes

  • package.json (version de react-router-dom)
  • package-lock.json (regenere)

Surface de test

Routing de l'app desktop (Tauri) -- verifier la navigation entre les vues principales apres bump. Pas de breaking change attendu (bump mineur/patch, pas de major).

Criteres d'acceptation

  • npm audit --json | jq '.vulnerabilities."react-router-dom"' vide
  • npm ls react-router-dom >= 7.18.1
  • Navigation manuelle de l'app apres bump : OK

Complexite estimee

Simple -- un seul bump resout #235 et cette issue.

References

Meme fix que #235 (react-router, cause racine). Ne pas creer 2 PRs separees -- 1 commit suffit pour les 2 issues.

## Contexte Detecte par le Defenseur **defenseur-simpl-resultat** (npm audit) le 2026-06-30. `react-router-dom@7.13.0` est une dependance directe ; sa vulnerabilite est heritee de `react-router@7.13.0` (voir issue #235) -- meme jeu de 7 advisories (turbo-stream RCE, DoS __manifest, DoS single-fetch, XSS RSC redirect, etc.), range affecte `>=7.0.0-pre.0 <=7.14.1`. **Le fix est le meme que #235** : bumper `react-router-dom` resout les deux issues en un seul commit (le parent tire `react-router` a une version compatible et corrigee). ## Travail a faire - [ ] Bumper `react-router-dom` en `^7.18.1` dans `package.json` (dependencies) -- traite conjointement avec #235 - [ ] `npm install` pour regenerer `package-lock.json` - [ ] Verifier `npm ls react-router-dom` -> `>=7.18.1`, `npm audit` ne liste plus ces CVE (ni sur `react-router-dom` ni sur `react-router`) ## Fichiers concernes - `package.json` (version de `react-router-dom`) - `package-lock.json` (regenere) ## Surface de test Routing de l'app desktop (Tauri) -- verifier la navigation entre les vues principales apres bump. Pas de breaking change attendu (bump mineur/patch, pas de major). ## Criteres d'acceptation - [ ] `npm audit --json | jq '.vulnerabilities."react-router-dom"'` vide - [ ] `npm ls react-router-dom` >= 7.18.1 - [ ] Navigation manuelle de l'app apres bump : OK ## Complexite estimee Simple -- un seul bump resout #235 et cette issue. ## References Meme fix que #235 (react-router, cause racine). Ne pas creer 2 PRs separees -- 1 commit suffit pour les 2 issues.
maximus added the
status:ready
type:security
source:defenseur
labels 2026-07-01 00:48:42 +00:00
maximus added this to the deps-security-2026-07 milestone 2026-07-01 12:35:41 +00:00
maximus added
status:review
and removed
status:ready
labels 2026-07-01 12:42:24 +00:00
maximus added
status:approved
and removed
status:review
labels 2026-07-01 12:43:14 +00:00
Sign in to join this conversation.
No project
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/Simpl-Resultat#238
No description provided.