[security] deps: vulnerability in shell-quote (critical) #95

Closed
opened 2026-07-01 00:06:33 +00:00 by maximus · 0 comments
Owner

Contexte

Detecte par le Defenseur (npm audit) le 2026-06-30. Vulnerabilite CRITICAL GHSA-w7jw-789q-3m8p ("shell-quote quote() does not escape newlines in object .op values"), range affecte >=1.1.0 <=1.8.3.

Chaine transitive unique : react-native > react-devtools-core@6.1.5 > shell-quote@1.8.3 (dev-only, outil DevTools/Metro, pas de code de prod). react-devtools-core declare ^1.6.1, compatible avec 1.8.4 (premiere version corrigee).

Travail a faire

  • Ajouter dans package.json -> overrides : "react-devtools-core": { "shell-quote": "^1.8.4" }
  • npm install pour regenerer package-lock.json
  • Verifier npm ls shell-quote -> >=1.8.4, npm audit ne liste plus ce CVE

Fichiers concernes

  • package.json (section overrides)
  • package-lock.json (regenere)

Surface de test

Aucune (dev-only, DevTools/Metro). Verification : npm install sans erreur + npx expo start demarre normalement.

Criteres d'acceptation

  • npm audit --json | jq '.vulnerabilities."shell-quote"' vide
  • npm ls shell-quote >= 1.8.4
  • Aucun fichier applicatif touche (diff limite a package.json/package-lock.json)

Complexite estimee

Simple.

Plan global

Fait partie d'un lot de 5 fixes deps (#95-#99) resolus par ajout d'overrides scopes dans le meme bloc package.json. Voir issue #96 pour le detail du plan combine.

## Contexte Detecte par le Defenseur (npm audit) le 2026-06-30. Vulnerabilite CRITICAL GHSA-w7jw-789q-3m8p ("shell-quote quote() does not escape newlines in object .op values"), range affecte `>=1.1.0 <=1.8.3`. Chaine transitive unique : `react-native > react-devtools-core@6.1.5 > shell-quote@1.8.3` (dev-only, outil DevTools/Metro, pas de code de prod). `react-devtools-core` declare `^1.6.1`, compatible avec `1.8.4` (premiere version corrigee). ## Travail a faire - [ ] Ajouter dans `package.json` -> `overrides` : `"react-devtools-core": { "shell-quote": "^1.8.4" }` - [ ] `npm install` pour regenerer `package-lock.json` - [ ] Verifier `npm ls shell-quote` -> `>=1.8.4`, `npm audit` ne liste plus ce CVE ## Fichiers concernes - `package.json` (section `overrides`) - `package-lock.json` (regenere) ## Surface de test Aucune (dev-only, DevTools/Metro). Verification : `npm install` sans erreur + `npx expo start` demarre normalement. ## Criteres d'acceptation - [ ] `npm audit --json | jq '.vulnerabilities."shell-quote"'` vide - [ ] `npm ls shell-quote` >= 1.8.4 - [ ] Aucun fichier applicatif touche (diff limite a package.json/package-lock.json) ## Complexite estimee Simple. ## Plan global Fait partie d'un lot de 5 fixes deps (#95-#99) resolus par ajout d'overrides scopes dans le meme bloc `package.json`. Voir issue #96 pour le detail du plan combine.
maximus added the
type:security
source:defenseur
labels 2026-07-01 00:06:33 +00:00
maximus added the
status:ready
label 2026-07-01 00:17:45 +00:00
maximus added
status:approved
and removed
status:ready
labels 2026-07-01 00:32:45 +00:00
Sign in to join this conversation.
No milestone
No project
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/simpl-liste#95
No description provided.