maximus/simpl-liste
1
0
Fork 0
Code Issues Pull requests Projects Releases 9 Packages Wiki Activity Actions

Vulnérabilité moderate dans esbuild via drizzle-kit #16

New issue
Closed
opened 2026-03-08 14:56:46 +00:00 by medic-bot · 0 comments
medic-bot commented 2026-03-08 14:56:46 +00:00
Collaborator
Copy link

Rapport défenseur-simpl

npm audit identifie 4 vulnérabilités moderate, toutes liées à la même chaîne :

drizzle-kit@0.31.9
  → @esbuild-kit/esm-loader@2.6.5
    → @esbuild-kit/core-utils@3.3.2
      → esbuild@0.18.20 (vulnérable ≤0.24.2)

Vulnérabilité : GHSA-67mh-4wv8-2f99 — le dev server esbuild permet à un site web d'envoyer des requêtes et lire les réponses.

Analyse

  • Risque réel : faibledrizzle-kit est une devDependency (outil de migration DB), pas inclus dans le build APK
  • La vulnérabilité concerne uniquement le dev server esbuild, pas le bundling
  • drizzle-kit utilise déjà esbuild@0.25.12 pour son module principal, mais le sous-module legacy @esbuild-kit traîne l'ancienne version
  • npm audit fix --force downgrade drizzle-kit à 0.18.1 — à ne pas faire (breaking change majeur)

Recommandation

Vérifier périodiquement si une nouvelle version de drizzle-kit (>0.31.9) drop la dépendance @esbuild-kit. Sinon, risque acceptable à ignorer.

## Rapport défenseur-simpl `npm audit` identifie 4 vulnérabilités moderate, toutes liées à la même chaîne : ``` drizzle-kit@0.31.9 → @esbuild-kit/esm-loader@2.6.5 → @esbuild-kit/core-utils@3.3.2 → esbuild@0.18.20 (vulnérable ≤0.24.2) ``` Vulnérabilité : [GHSA-67mh-4wv8-2f99](https://github.com/advisories/GHSA-67mh-4wv8-2f99) — le dev server esbuild permet à un site web d'envoyer des requêtes et lire les réponses. ## Analyse - **Risque réel : faible** — `drizzle-kit` est une devDependency (outil de migration DB), pas inclus dans le build APK - La vulnérabilité concerne uniquement le dev server esbuild, pas le bundling - `drizzle-kit` utilise déjà `esbuild@0.25.12` pour son module principal, mais le sous-module legacy `@esbuild-kit` traîne l'ancienne version - `npm audit fix --force` downgrade drizzle-kit à 0.18.1 — **à ne pas faire** (breaking change majeur) ## Recommandation Vérifier périodiquement si une nouvelle version de `drizzle-kit` (>0.31.9) drop la dépendance `@esbuild-kit`. Sinon, risque acceptable à ignorer.
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
master
fix/simpl-liste-23-widget-task-count
fix/simpl-liste-21-save-button-navigation
fix/simpl-liste-19-widget-add-button
fix/simpl-liste-11-widget-scroll
fix/simpl-liste-12-subtasks-completed-last
v1.3.0
v1.2.5
v1.2.4
v1.2.3
v1.2.2
v1.2.1
v1.2.0
v1.1.0
v1.0.1
v1.0.0
Labels
Clear labels   
source:analyste

Créée par le Super-Analyste

  
source:defenseur

Créée par l Escouade Défenseur

  
source:human

Créée par un humain

  
source:medic

Créée par le Medic (auto-détection)

  
status:approved

PR approuvée, prête à merger

  
status:blocked

Bloquée (question, dépendance, clarification)

  
status:in-progress

Un agent (Medic/Dev) travaille dessus

  
status:needs-fix

Reviewer demande des corrections

  
status:ready

Analysée et documentée, prête à prendre

  
status:review

PR créée, en attente du Reviewer

  
status:triage

Nouvelle issue, pas encore analysée

  
type:bug

Correction de bug → Medic

  
type:feature

Nouvelle fonctionnalité → Dev

  
type:infra

Config, CI/CD, déploiement → Dev

  
type:refactor

Refactoring / amélioration technique → Dev

  
type:schema

Modèle de données / migrations → Dev

  
type:security

Issue de sécurité → Medic ou Dev

No labels
source:analyste
source:defenseur
source:human
source:medic
status:approved
status:blocked
status:in-progress
status:needs-fix
status:ready
status:review
status:triage
type:bug
type:feature
type:infra
type:refactor
type:schema
type:security
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/simpl-liste#16
No description provided.
Delete branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?