maximus/Simpl-Resultat
1
0
Fork 0
Code Issues 4 Pull requests Projects Releases 19 Packages Wiki Activity Actions

fix(deps): bump vite to resolve high severity vulnerability (#59) #63

Closed
maximus wants to merge 1 commit from fix/simpl-resultat-59-bump-vite into main
pull from: fix/simpl-resultat-59-bump-vite
merge into: maximus:main
Conversation 2 Commits 1 Files changed 1 +6 -5
maximus commented 2026-04-09 14:01:28 +00:00
Owner
Copy link

Fixes #59

Summary

  • Bump vite past 6.4.1 to resolve HIGH severity vulnerabilities
  • GHSA-4w7w-66w2-5vf9 (path traversal in optimized deps .map handling)
  • GHSA-p9ff-h696-f583 (arbitrary file read via WebSocket)

Test plan

  • npm audit shows 0 vulnerabilities
  • npm test passes (25 tests)

🤖 Generated with Claude Code

Fixes #59 ## Summary - Bump vite past 6.4.1 to resolve HIGH severity vulnerabilities - GHSA-4w7w-66w2-5vf9 (path traversal in optimized deps .map handling) - GHSA-p9ff-h696-f583 (arbitrary file read via WebSocket) ## Test plan - [x] `npm audit` shows 0 vulnerabilities - [x] `npm test` passes (25 tests) 🤖 Generated with [Claude Code](https://claude.com/claude-code)
maximus added 1 commit 2026-04-09 14:01:29 +00:00
fix(deps): bump vite to resolve high severity vulnerabilities (#59)
Some checks failed
PR Check / rust (push) Failing after 1m37s
Details
PR Check / frontend (push) Successful in 2m15s
Details
PR Check / rust (pull_request) Failing after 1m27s
Details
PR Check / frontend (pull_request) Successful in 2m11s
Details
c8fff03749 
Update vite past 6.4.1 to fix path traversal (GHSA-4w7w-66w2-5vf9)
and arbitrary file read via WebSocket (GHSA-p9ff-h696-f583).
maximus commented 2026-04-09 15:00:51 +00:00
Author
Owner
Copy link

Reviewer automatique — approved

Le bump vite 6.4.1 → 6.4.2 dans le lock file corrige bien les deux CVE HIGH (GHSA-4w7w-66w2-5vf9 et GHSA-p9ff-h696-f583). Le changement est minimal et correct — comportement standard de npm audit fix. Le semver range ^6.4.1 dans package.json couvre 6.4.2, donc le lock file suffit à pincer la version sûre.

Suggestions de simplification

  • package.json : Le range ^6.4.1 dans package.json permet toujours techniquement d'installer la version vulnérable 6.4.1 si le lock file est supprimé ou régénéré. Bumper le minimum à ^6.4.2 serait plus défensif, mais ce n'est pas bloquant puisque le lock file pince 6.4.2.
## Reviewer automatique — approved Le bump vite 6.4.1 → 6.4.2 dans le lock file corrige bien les deux CVE HIGH (GHSA-4w7w-66w2-5vf9 et GHSA-p9ff-h696-f583). Le changement est minimal et correct — comportement standard de `npm audit fix`. Le semver range `^6.4.1` dans package.json couvre 6.4.2, donc le lock file suffit à pincer la version sûre. ### Suggestions de simplification - **package.json** : Le range `^6.4.1` dans package.json permet toujours techniquement d'installer la version vulnérable 6.4.1 si le lock file est supprimé ou régénéré. Bumper le minimum à `^6.4.2` serait plus défensif, mais ce n'est pas bloquant puisque le lock file pince 6.4.2.
maximus commented 2026-04-14 12:45:41 +00:00
Author
Owner
Copy link

Obsolète : vite a été bumpé à 6.4.2 via la PR #77 (commit 813d29e) qui traite aussi GHSA-4w7w-66w2-5vf9 et GHSA-p9ff-h696-f583. Fermeture de cette PR qui est maintenant en conflit avec main.

Obsolète : vite a été bumpé à 6.4.2 via la PR #77 (commit 813d29e) qui traite aussi GHSA-4w7w-66w2-5vf9 et GHSA-p9ff-h696-f583. Fermeture de cette PR qui est maintenant en conflit avec main.
maximus closed this pull request 2026-04-14 12:45:41 +00:00
Some checks failed
PR Check / rust (push) Failing after 1m37s
Details
PR Check / frontend (push) Successful in 2m15s
Details
PR Check / rust (pull_request) Failing after 1m27s
Details
PR Check / frontend (pull_request) Successful in 2m11s
Details

Pull request closed

Please reopen this pull request to perform a merge.
Sign in to join this conversation.
Reviewers
No reviewers
Labels
Clear labels   
source:analyste

Créée par le Super-Analyste

  
source:defenseur

Créée par l Escouade Défenseur

  
source:human

Créée par un humain

  
source:medic

Créée par le Medic (auto-détection)

  
status:approved

PR approuvée, prête à merger

  
status:blocked

Bloquée (question, dépendance, clarification)

  
status:in-progress

Un agent (Medic/Dev) travaille dessus

  
status:needs-fix

Reviewer demande des corrections

  
status:ready

Analysée et documentée, prête à prendre

  
status:review

PR créée, en attente du Reviewer

  
status:triage

Nouvelle issue, pas encore analysée

  
type:bug

Correction de bug → Medic

  
type:feature

Nouvelle fonctionnalité → Dev

  
type:infra

Config, CI/CD, déploiement → Dev

  
type:refactor

Refactoring / amélioration technique → Dev

  
type:schema

Modèle de données / migrations → Dev

  
type:security

Issue de sécurité → Medic ou Dev

No labels
source:analyste
source:defenseur
source:human
source:medic
status:approved
status:blocked
status:in-progress
status:needs-fix
status:ready
status:review
status:triage
type:bug
type:feature
type:infra
type:refactor
type:schema
type:security
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/Simpl-Resultat#63
No description provided.
Delete branch "fix/simpl-resultat-59-bump-vite"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?