Vulnerabilites npm SDK Expo + uuid + xcode (18 packages, update lockstep Expo) #81

New issue

Closed

opened 2026-05-01 01:39:33 +00:00 by maximus · 1 comment

maximus commented

2026-05-01 01:39:33 +00:00

Owner

Contexte

Issue ouverte par run defenseur du 2026-04-30 listant 18 packages MEDIUM. Le milestone overnight vuln-simpl-liste (2026-04-24) est marque 3/3 done, et trois overrides ont ete poses depuis :

uuid@^11.1.1 (PR #84, commit 70211fc)
postcss@^8.5.10 (PR #80)
@xmldom/xmldom@^0.8.13

Un npm audit local retourne 0 vulnerabilite. Les findings du 2026-04-30 sont vraisemblablement obsoletes (rapport pris avant le bump uuid 11.0.0 -> 11.1.1, ou outil qui flagge encore les chaines transitives malgre l'override).

Travail a faire

Relancer defenseur-simpl-liste pour produire un rapport frais (2026-05-07)
Si rapport clean : fermer cette issue avec lien vers le rescan en commentaire
Si findings residuels : trier par root-cause, identifier ceux non couverts par les overrides existants, ouvrir une PR ciblee
Verifier que tests/smoke.test.cjs (commit cfedde0) couvre toujours les overrides

Fichiers concernes

package.json — overrides (deja a jour pour uuid / xmldom / postcss / esbuild)
package-lock.json — coherence avec overrides
tests/smoke.test.cjs — non-regression overrides

Surface de test

Tests existants : tests/smoke.test.cjs (smoke uuid + package overrides, commit 097d3f2)
Tests manquants : aucun — le smoke couvre la non-regression
Test de regression requis : non (type:security, pas type:bug)
Validation primaire : nouveau run defenseur

Criteres d'acceptation

Run defenseur 2026-05-07 ne contient plus les 18 findings defenseur-simpl-liste-deps-npm-audit-simpl-liste-*
npm audit : 0 vulnerabilite (deja vrai)
tests/smoke.test.cjs passe
Si rerun clean -> issue fermee avec commentaire referant le rapport defenseur

Out of scope

7 patches Expo desync signales par expo-doctor -> issue separee type:chore

Complexite

Simple — operation de verification. Si rerun clean : gh issue close.

Note

Le path original (npx expo install --fix + upgrade SDK) reste un fallback si le rerun revele des findings non couverts par les overrides. Mais inutilement risque tant que les overrides suffisent.

Analyse via /analyze 81 le 2026-05-07.

## Contexte Issue ouverte par run defenseur du 2026-04-30 listant 18 packages MEDIUM. Le milestone overnight `vuln-simpl-liste` (2026-04-24) est marque 3/3 done, et trois overrides ont ete poses depuis : - `uuid@^11.1.1` (PR #84, commit 70211fc) - `postcss@^8.5.10` (PR #80) - `@xmldom/xmldom@^0.8.13` Un `npm audit` local retourne **0 vulnerabilite**. Les findings du 2026-04-30 sont vraisemblablement obsoletes (rapport pris avant le bump uuid 11.0.0 -> 11.1.1, ou outil qui flagge encore les chaines transitives malgre l'override). ## Travail a faire - [ ] Relancer `defenseur-simpl-liste` pour produire un rapport frais (2026-05-07) - [ ] Si rapport clean : fermer cette issue avec lien vers le rescan en commentaire - [ ] Si findings residuels : trier par root-cause, identifier ceux non couverts par les overrides existants, ouvrir une PR ciblee - [ ] Verifier que `tests/smoke.test.cjs` (commit cfedde0) couvre toujours les overrides ## Fichiers concernes - `package.json` — `overrides` (deja a jour pour uuid / xmldom / postcss / esbuild) - `package-lock.json` — coherence avec overrides - `tests/smoke.test.cjs` — non-regression overrides ## Surface de test - Tests existants : `tests/smoke.test.cjs` (smoke uuid + package overrides, commit 097d3f2) - Tests manquants : aucun — le smoke couvre la non-regression - Test de regression requis : non (`type:security`, pas `type:bug`) - Validation primaire : nouveau run defenseur ## Criteres d'acceptation - [ ] Run defenseur 2026-05-07 ne contient plus les 18 findings `defenseur-simpl-liste-deps-npm-audit-simpl-liste-*` - [ ] `npm audit` : 0 vulnerabilite (deja vrai) - [ ] `tests/smoke.test.cjs` passe - [ ] Si rerun clean -> issue fermee avec commentaire referant le rapport defenseur ## Out of scope - 7 patches Expo desync signales par `expo-doctor` -> issue separee `type:chore` ## Complexite **Simple** — operation de verification. Si rerun clean : `gh issue close`. ## Note Le path original (`npx expo install --fix` + upgrade SDK) reste un fallback si le rerun revele des findings non couverts par les overrides. Mais inutilement risque tant que les overrides suffisent. --- Analyse via `/analyze 81` le 2026-05-07.

maximus added the

status:ready

type:security

source:defenseur

labels 2026-05-01 01:39:33 +00:00

maximus referenced this issue

2026-05-08 01:32:24 +00:00

Aligner 7 patches Expo SDK 54 (expo-doctor) #87

maximus commented

2026-05-08 01:35:54 +00:00

Author

Owner

Rerun defenseur 2026-05-08 — 0 findings

Rapport : defenseur-simpl-liste_2026-05-08T01-35-19-829Z.json

{
  "project": "simpl-liste",
  "timestamp": "2026-05-08T01:35:19.829Z",
  "findings": []
}

Validations :

npm audit : 0 vulnerabilite
tests/smoke.test.cjs : 6/6 OK (uuid v3/v4/v5 + buffer args, valid package.json)
Defenseur rescan : 0 findings (vs 19 le 2026-04-24, vs 18 le 2026-04-30)

Les 18 findings du run du 2026-04-30 etaient obsoletes — couverts depuis par les overrides poses dans le milestone overnight-2026-04-24-vuln-simpl-liste et le bump uuid ^11.0.0 -> ^11.1.1 (PR #84). Aucun PR additionnel necessaire.

Closing as resolved.

## Rerun defenseur 2026-05-08 — 0 findings Rapport : `defenseur-simpl-liste_2026-05-08T01-35-19-829Z.json` ```json { "project": "simpl-liste", "timestamp": "2026-05-08T01:35:19.829Z", "findings": [] } ``` Validations : - `npm audit` : 0 vulnerabilite - `tests/smoke.test.cjs` : 6/6 OK (uuid v3/v4/v5 + buffer args, valid package.json) - Defenseur rescan : 0 findings (vs 19 le 2026-04-24, vs 18 le 2026-04-30) Les 18 findings du run du 2026-04-30 etaient obsoletes — couverts depuis par les overrides poses dans le milestone `overnight-2026-04-24-vuln-simpl-liste` et le bump uuid `^11.0.0` -> `^11.1.1` (PR #84). Aucun PR additionnel necessaire. Closing as resolved.

maximus closed this issue

2026-05-08 01:35:55 +00:00

maximus referenced this issue from a commit

2026-05-08 01:36:52 +00:00

state: sync after #81