[security] deps: @babel/core — Arbitrary File Read via sourceMappingURL Comment (LOW) #241
Labels
No labels
autopilot:pending-human
source:analyste
source:defenseur
source:human
source:medic
status:approved
status:blocked
status:in-progress
status:needs-clarification
status:needs-fix
status:ready
status:review
status:triage
type:bug
type:feature
type:infra
type:refactor
type:schema
type:security
No milestone
No project
No assignees
1 participant
Notifications
Due date
No due date set.
Dependencies
No dependencies set.
Reference: maximus/Simpl-Resultat#241
Loading…
Reference in a new issue
No description provided.
Delete branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Detection
Detecté par le Defenseur defenseur-simpl-resultat +
npm auditlive (2026-07-02). Reliquat du sprintdeps-security-2026-07(npm auditpassé de 5 à 1 ; ce@babel/corelow était laissé volontairement hors scope, override scopé à faire).Finding
@babel/core— GHSA-4x5r-pxfx-6jf8 « Arbitrary File Read via sourceMappingURL Comment » (CVSS 3.2)@vitejs/plugin-react@4.7.0(devDependency, outillage de build)7.29.0(vulnérable, range advisory<=7.29.0) ; patché en7.29.7(ligne 7.x, non-breaking)Résolution
Override scopé au parent — pas
npm audit fix, qui empile une copie 7.29.7 à côté de la 7.29.0 sans résoudre (version pinnée par le parent) :^7.29.7reste dans la range acceptée par@vitejs/plugin-react(patch dans le même majeur 7.x) → non-breaking. Passenpm auditde 1 → 0.Issue créée par
/analyse-vulnerabilite. Le Defenseur ne porte pas encore l'étataccepted(rapport régénéré à chaque scan, éditer le JSON est un no-op). Faux positif → fermer avec un commentaire d'analyse ; cause racine côté scanner → issue dansagent-defenseurs.