[security] deps: @babel/core — Arbitrary File Read via sourceMappingURL Comment (LOW) #241

Closed
opened 2026-07-02 20:41:29 +00:00 by maximus · 0 comments
Owner

Detection

Detecté par le Defenseur defenseur-simpl-resultat + npm audit live (2026-07-02). Reliquat du sprint deps-security-2026-07 (npm audit passé de 5 à 1 ; ce @babel/core low était laissé volontairement hors scope, override scopé à faire).

Finding

  • [LOW] @babel/coreGHSA-4x5r-pxfx-6jf8 « Arbitrary File Read via sourceMappingURL Comment » (CVSS 3.2)
    • Chemin : transitif via @vitejs/plugin-react@4.7.0 (devDependency, outillage de build)
    • Installé : 7.29.0 (vulnérable, range advisory <=7.29.0) ; patché en 7.29.7 (ligne 7.x, non-breaking)
    • Surface réelle : dev-only / build-time, aucune exécution au runtime (app Tauri desktop). Pas d'urgence — hardening.

Résolution

Override scopé au parent — pas npm audit fix, qui empile une copie 7.29.7 à côté de la 7.29.0 sans résoudre (version pinnée par le parent) :

"overrides": { "@vitejs/plugin-react": { "@babel/core": "^7.29.7" } }

^7.29.7 reste dans la range acceptée par @vitejs/plugin-react (patch dans le même majeur 7.x) → non-breaking. Passe npm audit de 1 → 0.


Issue créée par /analyse-vulnerabilite. Le Defenseur ne porte pas encore l'état accepted (rapport régénéré à chaque scan, éditer le JSON est un no-op). Faux positif → fermer avec un commentaire d'analyse ; cause racine côté scanner → issue dans agent-defenseurs.

## Detection Detecté par le Defenseur **defenseur-simpl-resultat** + `npm audit` live (2026-07-02). Reliquat du sprint `deps-security-2026-07` (`npm audit` passé de 5 à 1 ; ce `@babel/core` low était laissé volontairement hors scope, override scopé à faire). ## Finding - **[LOW]** `@babel/core` — [GHSA-4x5r-pxfx-6jf8](https://github.com/advisories/GHSA-4x5r-pxfx-6jf8) « Arbitrary File Read via sourceMappingURL Comment » (CVSS 3.2) - **Chemin** : transitif via `@vitejs/plugin-react@4.7.0` (devDependency, outillage de build) - **Installé** : `7.29.0` (vulnérable, range advisory `<=7.29.0`) ; **patché en `7.29.7`** (ligne 7.x, non-breaking) - **Surface réelle** : dev-only / build-time, aucune exécution au runtime (app Tauri desktop). Pas d'urgence — hardening. ## Résolution Override **scopé au parent** — pas `npm audit fix`, qui empile une copie 7.29.7 à côté de la 7.29.0 sans résoudre (version pinnée par le parent) : ```json "overrides": { "@vitejs/plugin-react": { "@babel/core": "^7.29.7" } } ``` `^7.29.7` reste dans la range acceptée par `@vitejs/plugin-react` (patch dans le même majeur 7.x) → non-breaking. Passe `npm audit` de **1 → 0**. --- _Issue créée par `/analyse-vulnerabilite`. Le Defenseur ne porte pas encore l'état `accepted` (rapport régénéré à chaque scan, éditer le JSON est un no-op). Faux positif → fermer avec un commentaire d'analyse ; cause racine côté scanner → issue dans `agent-defenseurs`._
maximus added the
status:ready
type:security
source:defenseur
labels 2026-07-02 20:41:29 +00:00
maximus added
status:approved
and removed
status:ready
labels 2026-07-04 20:10:43 +00:00
Sign in to join this conversation.
No milestone
No project
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/Simpl-Resultat#241
No description provided.