fix: update vulnerable dependency picomatch #43

New issue

Closed

opened 2026-03-30 00:44:27 +00:00 by maximus · 0 comments

maximus commented 2026-03-30 00:44:27 +00:00

Owner

Copy link

Vulnerability detected by defenseur-simpl

The following HIGH severity vulnerability was flagged:

Package	Severity	Current	Fix
picomatch (x2)	HIGH	4.0.3	4.0.4

Vulnérabilités

• GHSA-3v7f-55p6-f55p — Method Injection in POSIX Character Classes
• GHSA-c2c7-rcm5-vvqj — ReDoS via extglob quantifiers

Analyse

• Dépendance transitive de vite@6.4.1 (via fdir, tinyglobby, et direct)
• Pas une dépendance directe du projet
• Les ranges existantes (^4.0.2, ^4.0.3) acceptent 4.0.4

Plan (Option A)

• npm audit fix pour mettre à jour picomatch 4.0.3 → 4.0.4
• Vérifier npm audit clean
• Vérifier npm run build OK

Fichiers concernés

• package-lock.json uniquement

Critères d'acceptation

• npm audit retourne 0 vulnérabilité picomatch
• npm run build réussit
• Aucun changement dans package.json

Complexité

Simple

---

Source: defenseur-simpl security scan

## Vulnerability detected by defenseur-simpl The following HIGH severity vulnerability was flagged: | Package | Severity | Current | Fix | |---|---|---|---| | **picomatch** (x2) | HIGH | 4.0.3 | 4.0.4 | ### Vulnérabilités - [GHSA-3v7f-55p6-f55p](https://github.com/advisories/GHSA-3v7f-55p6-f55p) — Method Injection in POSIX Character Classes - [GHSA-c2c7-rcm5-vvqj](https://github.com/advisories/GHSA-c2c7-rcm5-vvqj) — ReDoS via extglob quantifiers ### Analyse - Dépendance transitive de `vite@6.4.1` (via `fdir`, `tinyglobby`, et direct) - Pas une dépendance directe du projet - Les ranges existantes (`^4.0.2`, `^4.0.3`) acceptent 4.0.4 ### Plan (Option A) - [ ] `npm audit fix` pour mettre à jour picomatch 4.0.3 → 4.0.4 - [ ] Vérifier `npm audit` clean - [ ] Vérifier `npm run build` OK ### Fichiers concernés - `package-lock.json` uniquement ### Critères d'acceptation - [ ] `npm audit` retourne 0 vulnérabilité picomatch - [ ] `npm run build` réussit - [ ] Aucun changement dans `package.json` ### Complexité Simple --- _Source: defenseur-simpl security scan_

maximus added the

status:ready

type:bug

labels 2026-03-30 01:03:42 +00:00

maximus referenced this issue from a commit 2026-03-30 01:09:38 +00:00

fix: update picomatch 4.0.3 → 4.0.4 to resolve HIGH vulnerabilities (#43)

maximus referenced this issue from a pull request that will close it, 2026-03-30 01:09:46 +00:00

fix: update picomatch 4.0.3 → 4.0.4 (#43) #45

maximus added

status:review

and removed

status:ready

labels 2026-03-30 01:10:04 +00:00

maximus added

status:approved

and removed

status:review

labels 2026-03-30 01:11:31 +00:00

maximus closed this issue 2026-03-30 01:14:19 +00:00

maximus referenced this issue from a commit 2026-03-30 01:14:20 +00:00

Merge pull request 'fix: update picomatch 4.0.3 → 4.0.4 (#43)' (#45) from issue-43-update-picomatch into main

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

issue-67-feedback-widget

issue-97-cartes-page

issue-96-compare-refactor

issue-51-compte-maximus-oauth

issue-46-license-commands-entitlements

issue-48-gate-auto-updates

issue-47-license-ui-card

fix/simpl-resultat-54-argon2id-pin

fix/simpl-resultat-59-bump-vite

issue-43-update-picomatch

fix/simpl-resultat-41-category-time-report-filter

fix/simpl-resultat-31-dashboard-month-dropdown

fix/simpl-resultat-29-budget-visual-adjustments

fix/simpl-resultat-23-dashboard-category-ordering

fix/simpl-resultat-16-prev-year-budget

fix/simpl-resultat-19-tooltip-transparency

fix/simpl-resultat-17-remove-piechart-title

fix/simpl-resultat-16-budget-previous-year

v0.8.2

v0.8.1

v0.8.0

v0.7.4

v0.7.3

v0.7.2

v0.7.1

v0.7.0

v0.6.7

v0.6.6

v0.6.5

v0.6.4

v0.6.3

v0.6.2

v0.6.1

v0.6.0

v0.5.2

v0.5.0

v0.4.2

v0.4.0

v0.3.11

v0.3.10

v0.3.9

v0.3.8

v0.3.7

v0.3.6

v0.3.5

v0.3.4

v0.3.3

v0.3.2

v0.3.1

v0.3.0

v0.2.12

v0.2.11

v0.2.10

v0.2.9

v0.2.8

v0.2.7

v0.2.6

v0.2.5

v0.2.4

v0.2.3

v0.2.2

v0.2.1

v0.2.0

v0.1.2

v0.1.1

v0.1.0

Labels

Clear labels   

source:analyste

Créée par le Super-Analyste

  

source:defenseur

Créée par l Escouade Défenseur

  

source:human

Créée par un humain

  

source:medic

Créée par le Medic (auto-détection)

  

status:approved

PR approuvée, prête à merger

  

status:blocked

Bloquée (question, dépendance, clarification)

  

status:in-progress

Un agent (Medic/Dev) travaille dessus

  

status:needs-fix

Reviewer demande des corrections

  

status:ready

Analysée et documentée, prête à prendre

  

status:review

PR créée, en attente du Reviewer

  

status:triage

Nouvelle issue, pas encore analysée

  

type:bug

Correction de bug → Medic

  

type:feature

Nouvelle fonctionnalité → Dev

  

type:infra

Config, CI/CD, déploiement → Dev

  

type:refactor

Refactoring / amélioration technique → Dev

  

type:schema

Modèle de données / migrations → Dev

  

type:security

Issue de sécurité → Medic ou Dev

No labels

source:analyste

source:defenseur

source:human

source:medic

status:approved

status:blocked

status:in-progress

status:needs-fix

status:ready

status:review

status:triage

type:bug

type:feature

type:infra

type:refactor

type:schema

type:security

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/Simpl-Resultat#43

No description provided.