Fix HIGH: override @xmldom/xmldom pour corriger 4 CVE #74

New issue

Closed

opened 2026-04-24 01:45:29 +00:00 by maximus · 0 comments

maximus commented 2026-04-24 01:45:29 +00:00

Owner

Copy link

Autopilot 2026-04-24 : traite par PR #77 (pending human review).

---

Description

Ajouter un override @xmldom/xmldom: ^0.8.13 dans package.json pour corriger 4 CVE dans les chaines de build Expo CLI et iOS (xcode).

Fichiers concernes

• package.json — ajouter la cle dans overrides
• package-lock.json — regenere par npm install

CVE adressees

• GHSA-2v35-w6hq-6mfw (DoS — uncontrolled recursion in XML serialization)
• GHSA-f6ww-3ggp-fr8h (XML injection via DocumentType serialization)
• GHSA-x6wf-f3px-wcqx (XML injection via processing instruction serialization)
• GHSA-j759-j44w-7fr8 (XML injection via comment serialization)

Plan dimplementation

1. Editer package.json pour ajouter "@xmldom/xmldom": "^0.8.13" dans lobjet overrides existant.
2. Executer npm install pour regenerer package-lock.json.
3. Verifier que npm ls @xmldom/xmldom ne liste plus 0.8.12 (doit afficher >=0.8.13).
4. npx tsc --noEmit doit passer sans erreur.
5. timeout 10 npm start doit demarrer Metro sans erreur dimport ni crash.
6. Commit + PR avec label status:review.

Criteres dacceptation

• package.json contient "@xmldom/xmldom": "^0.8.13" dans overrides.
• npm ls @xmldom/xmldom naffiche que des versions >=0.8.13.
• npx tsc --noEmit passe sans erreur.
• npm start demarre Metro bundler sans erreur.
• npm audit --json | jq .vulnerabilities["@xmldom/xmldom"] retourne null.
• package-lock.json est commit dans le meme commit que package.json.

Spec source

spec-plan-vuln-simpl-liste.md — Issue A

> **Autopilot 2026-04-24** : traite par PR #77 (pending human review). --- ## Description Ajouter un override `@xmldom/xmldom: ^0.8.13` dans `package.json` pour corriger 4 CVE dans les chaines de build Expo CLI et iOS (xcode). ## Fichiers concernes - `package.json` — ajouter la cle dans `overrides` - `package-lock.json` — regenere par `npm install` ## CVE adressees - GHSA-2v35-w6hq-6mfw (DoS — uncontrolled recursion in XML serialization) - GHSA-f6ww-3ggp-fr8h (XML injection via DocumentType serialization) - GHSA-x6wf-f3px-wcqx (XML injection via processing instruction serialization) - GHSA-j759-j44w-7fr8 (XML injection via comment serialization) ## Plan dimplementation 1. Editer `package.json` pour ajouter `"@xmldom/xmldom": "^0.8.13"` dans lobjet `overrides` existant. 2. Executer `npm install` pour regenerer `package-lock.json`. 3. Verifier que `npm ls @xmldom/xmldom` ne liste plus 0.8.12 (doit afficher >=0.8.13). 4. `npx tsc --noEmit` doit passer sans erreur. 5. `timeout 10 npm start` doit demarrer Metro sans erreur dimport ni crash. 6. Commit + PR avec label `status:review`. ## Criteres dacceptation - [x] `package.json` contient `"@xmldom/xmldom": "^0.8.13"` dans `overrides`. - [x] `npm ls @xmldom/xmldom` naffiche que des versions `>=0.8.13`. - [x] `npx tsc --noEmit` passe sans erreur. - [x] `npm start` demarre Metro bundler sans erreur. - [x] `npm audit --json | jq .vulnerabilities["@xmldom/xmldom"]` retourne `null`. - [x] `package-lock.json` est commit dans le meme commit que `package.json`. ## Spec source `spec-plan-vuln-simpl-liste.md` — Issue A

maximus added the

source:defenseur

status:ready

type:security

labels 2026-04-24 01:45:35 +00:00

maximus added this to the overnight-2026-04-24-vuln-simpl-liste milestone 2026-04-24 01:45:35 +00:00

maximus referenced this issue 2026-04-24 01:45:57 +00:00

Fix MEDIUM: override uuid pour corriger buffer bounds check #75

maximus referenced this issue 2026-04-24 01:46:42 +00:00

Verification: defenseur 0 finding + build EAS preview + docs securite #76

maximus referenced this issue from a commit 2026-04-24 11:13:45 +00:00

fix(security): override @xmldom/xmldom to ^0.8.13

maximus referenced this issue from a pull request that will close it, 2026-04-24 11:13:56 +00:00

fix(security): override @xmldom/xmldom to ^0.8.13 (#74) #77

maximus added the

autopilot:pending-human

label 2026-04-24 11:14:05 +00:00

maximus closed this issue 2026-04-24 18:13:57 +00:00

maximus referenced this issue from a commit 2026-04-24 18:13:58 +00:00

Merge pull request 'fix(security): override @xmldom/xmldom to ^0.8.13 (#74)' (#77) from fix/vuln-A-xmldom-override into master

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

master

issue-87-align-expo-sdk-patches

fix/vuln-postcss-override

fix/vuln-C-verification

fix/vuln-B-uuid-override

fix/vuln-A-xmldom-override

issue-71-widget-expand-perf

issue-61-refresh-button-toolbar

issue-65-widget-sync-refresh

issue-60-fix-duplicate-inbox

fix/simpl-liste-32-widget-subtask-toggle

issue-29-widget-expand-perf

issue-25-edit-delete-subtasks

fix/simpl-liste-26-vulnerable-deps

fix/simpl-liste-23-widget-task-count

fix/simpl-liste-21-save-button-navigation

fix/simpl-liste-19-widget-add-button

fix/simpl-liste-11-widget-scroll

fix/simpl-liste-12-subtasks-completed-last

v1.6.4

v1.6.3

v1.6.2

v1.6.1

v1.6.0

v1.5.2

v1.5.1

v1.5.0

v1.4.0

v1.3.0

v1.2.5

v1.2.4

v1.2.3

v1.2.2

v1.2.1

v1.2.0

v1.1.0

v1.0.1

v1.0.0

Labels

Clear labels   

autopilot:pending-human

PR produite par autopilot, attend review humaine

  

source:analyste

Créée par le Super-Analyste

  

source:defenseur

Créée par l Escouade Défenseur

  

source:human

Créée par un humain

  

source:medic

Créée par le Medic (auto-détection)

  

status:approved

PR approuvée, prête à merger

  

status:blocked

Bloquée (question, dépendance, clarification)

  

status:in-progress

Un agent (Medic/Dev) travaille dessus

  

status:needs-clarification

Ambiguite LOW, Max doit clarifier

  

status:needs-fix

Reviewer demande des corrections

  

status:ready

Analysée et documentée, prête à prendre

  

status:review

PR créée, en attente du Reviewer

  

status:triage

Nouvelle issue, pas encore analysée

  

type:bug

Correction de bug → Medic

  

type:feature

Nouvelle fonctionnalité → Dev

  

type:infra

Config, CI/CD, déploiement → Dev

  

type:refactor

Refactoring / amélioration technique → Dev

  

type:schema

Modèle de données / migrations → Dev

  

type:security

Issue de sécurité → Medic ou Dev

No labels

autopilot:pending-human

source:analyste

source:defenseur

source:human

source:medic

status:approved

status:blocked

status:in-progress

status:needs-clarification

status:needs-fix

status:ready

status:review

status:triage

type:bug

type:feature

type:infra

type:refactor

type:schema

type:security

Milestone

Clear milestone

No items

No milestone

overnight-2026-04-24-vuln-simpl-liste

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/simpl-liste#74

No description provided.