fix(deps): bump vite to 6.4.3 + vitest to 4.1.9 (security #236, #237) #240

Merged
maximus merged 1 commit from issue-237-vite-vitest into main 2026-07-02 00:18:32 +00:00
Owner

Fixes #236
Fixes #237

Bump vite 6.4.2 → 6.4.3 et vitest 4.0.18 → 4.1.9 (devDependencies), dans 6.x/4.x — pas de major (vite latest est 8.x, volontairement écarté).

Vulnérabilités résolues

  • #236 vite (high) — server.fs.deny bypass sur chemins alternatifs Windows (GHSA-fx2h-pf6j-xcff) + NTLMv2 hash disclosure via UNC (GHSA-v6wh-96g9-6wx3). Dev server, Windows.
  • #237 vitest (critical) — lecture/exécution de fichier arbitraire quand le serveur UI Vitest écoute (GHSA-5xrq-8626-4rwp). Surface réelle : uniquement vitest --ui, jamais en prod/CI.

Toutes deux dev-only. npm audit : 3 → 1 (les 2 éliminées, deduped une seule version de vite partout).

Validation

  • npm ls vitevite@6.4.3 deduped sur tous les chemins (@tailwindcss/vite, @vitejs/plugin-react, vitest, @vitest/mocker) ✓
  • npm ls vitest → 4.1.9 ✓
  • npm audit : vite et vitest absents ✓
  • npm test → 635 tests passent (37 fichiers) — bump vitest 4.0→4.1 sans régression ✓
  • npm run build (tsc + vite 6.4.3) vert ✓

Hors scope

@babel/core (low, GHSA-4x5r-pxfx-6jf8, dev-only) reste : npm audit fix ajoute 77 paquets sans résoudre la vuln (pinné par un parent). À traiter via override scopé dans un changement dédié — pas de rider sur cette PR sécu.

🤖 Generated with Claude Code

Fixes #236 Fixes #237 Bump `vite` 6.4.2 → 6.4.3 et `vitest` 4.0.18 → 4.1.9 (devDependencies), dans 6.x/4.x — **pas de major** (vite latest est 8.x, volontairement écarté). ## Vulnérabilités résolues - **#236 vite** (high) — `server.fs.deny` bypass sur chemins alternatifs Windows (GHSA-fx2h-pf6j-xcff) + NTLMv2 hash disclosure via UNC (GHSA-v6wh-96g9-6wx3). Dev server, Windows. - **#237 vitest** (critical) — lecture/exécution de fichier arbitraire quand le serveur UI Vitest écoute (GHSA-5xrq-8626-4rwp). Surface réelle : uniquement `vitest --ui`, jamais en prod/CI. Toutes deux **dev-only**. `npm audit` : **3 → 1** (les 2 éliminées, deduped une seule version de vite partout). ## Validation - `npm ls vite` → `vite@6.4.3` deduped sur tous les chemins (@tailwindcss/vite, @vitejs/plugin-react, vitest, @vitest/mocker) ✓ - `npm ls vitest` → 4.1.9 ✓ - `npm audit` : `vite` et `vitest` absents ✓ - **`npm test` → 635 tests passent** (37 fichiers) — bump vitest 4.0→4.1 sans régression ✓ - `npm run build` (tsc + vite 6.4.3) vert ✓ ## Hors scope `@babel/core` (low, GHSA-4x5r-pxfx-6jf8, dev-only) reste : `npm audit fix` ajoute 77 paquets **sans** résoudre la vuln (pinné par un parent). À traiter via override scopé dans un changement dédié — pas de rider sur cette PR sécu. 🤖 Generated with [Claude Code](https://claude.com/claude-code)
maximus added 1 commit 2026-07-02 00:01:48 +00:00
fix(deps): bump vite to 6.4.3 and vitest to 4.1.9 (fixes #236, #237)
All checks were successful
PR Check / rust (pull_request) Successful in 28m3s
PR Check / frontend (pull_request) Successful in 2m39s
23b574ebcb
vite@6.4.2: server.fs.deny bypass (GHSA-fx2h-pf6j-xcff, high) + NTLMv2 hash
disclosure (GHSA-v6wh-96g9-6wx3, moderate) -- Windows-only, dev server.
vitest@4.0.18: UI server arbitrary file read/exec (GHSA-5xrq-8626-4rwp,
critical) -- only when 'vitest --ui' is listening. Both dev-only. Bumped
within 6.x/4.x (no major). 635 tests pass, build green.

npm audit: 3 -> 1 (only @babel/core low remains; left out deliberately --
audit fix adds 77 packages without resolving it, needs a scoped override
in a separate change).

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Author
Owner

Review — APPROVE

Bump vite 6.4.2 → 6.4.3 + vitest 4.0.18 → 4.1.9 (devDeps). Diff scoped à la famille vite/vitest.

Sécurité — aucun secret ; pas de code applicatif (package.json + lock uniquement).
Correctnessnpm audit : vite et vitest absents (3 → 1). npm ls vite → 6.4.3 deduped sur tous les chemins. Aucun major : les lignes ^6.0.0 || ^7.0.0 || ^8.0.0 du lock sont des ranges peer (compat déclarée), la version installée résolue est 6.4.3. Les sous-deps qui bougent (tinypool & co.) sont tirées transitivement par vitest 4.1.9 — couvertes par les tests/build verts.
Quality — idiomatique, aucun paquet ajouté ("changed 12", pas "added").
Data — aucune migration SQL.

Validationnpm test : 635 tests passent (37 fichiers), le bump vitest 4.0→4.1 ne régresse pas. npm run build (tsc + vite 6.4.3) vert.

Reste @babel/core (low, dev-only) volontairement hors scope : npm audit fix ajoute 77 paquets sans résoudre (pinné par un parent) → override scopé dans un changement dédié.

## Review — APPROVE ✅ Bump `vite` 6.4.2 → 6.4.3 + `vitest` 4.0.18 → 4.1.9 (devDeps). Diff scoped à la famille vite/vitest. **Sécurité** — aucun secret ; pas de code applicatif (package.json + lock uniquement). **Correctness** — `npm audit` : `vite` et `vitest` absents (3 → 1). `npm ls vite` → 6.4.3 deduped sur tous les chemins. **Aucun major** : les lignes `^6.0.0 || ^7.0.0 || ^8.0.0` du lock sont des ranges *peer* (compat déclarée), la version installée résolue est 6.4.3. Les sous-deps qui bougent (tinypool & co.) sont tirées transitivement par vitest 4.1.9 — couvertes par les tests/build verts. **Quality** — idiomatique, aucun paquet ajouté ("changed 12", pas "added"). **Data** — aucune migration SQL. **Validation** — `npm test` : **635 tests passent** (37 fichiers), le bump vitest 4.0→4.1 ne régresse pas. `npm run build` (tsc + vite 6.4.3) vert. Reste `@babel/core` (low, dev-only) volontairement hors scope : `npm audit fix` ajoute 77 paquets sans résoudre (pinné par un parent) → override scopé dans un changement dédié.
maximus merged commit 9e9ffa088a into main 2026-07-02 00:18:32 +00:00
maximus deleted branch issue-237-vite-vitest 2026-07-02 00:18:32 +00:00
Sign in to join this conversation.
No reviewers
No milestone
No project
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/Simpl-Resultat#240
No description provided.