[security] deps: vulnerability in undici (high) #96
Labels
No labels
autopilot:pending-human
source:analyste
source:defenseur
source:human
source:medic
status:approved
status:blocked
status:in-progress
status:needs-clarification
status:needs-fix
status:ready
status:review
status:triage
type:bug
type:feature
type:infra
type:refactor
type:schema
type:security
No milestone
No project
No assignees
1 participant
Notifications
Due date
No due date set.
Dependencies
No dependencies set.
Reference: maximus/simpl-liste#96
Loading…
Reference in a new issue
No description provided.
Delete branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Contexte
Detecte par le Defenseur (npm audit) le 2026-06-30. 4 advisories groupees (GHSA-p88m-4jfj-68fv, GHSA-vxpw-j846-p89q, GHSA-35p6-xmwp-9g52, GHSA-g8m3-5g58-fq7m), severite HIGH globale, corrigees en
>=6.27.0.Chaine transitive unique :
expo > @expo/cli@54.0.24 > undici@6.25.0(dev-only, tooling CLI).@expo/clideclare^6.18.2(compatible avec 6.27.0, dernier patch de la ligne 6.x). Aucunrequire('undici')dans le code applicatif.Travail a faire
"undici": "^6.27.0"dans le blocoverrides["@expo/cli"]existant (a cote dews)npm installnpm ls undici>= 6.27.0,npm auditne liste plus undiciFichiers concernes
package.json(sectionoverrides.@expo/cli)package-lock.json(regenere)Surface de test
Aucune (dev-only, tooling CLI Metro/Expo). Verification :
npx expo startdemarre normalement.Criteres d'acceptation
npm audit --json | jq '.vulnerabilities.undici'retourne nullnpm ls undici>= 6.27.0@expo/cli.wsexistant inchangeComplexite estimee
Simple.
Plan global (issues #95-#99)
5 vulnerabilites deps trouvees par le meme scan Defenseur, toutes resolubles par overrides scopes dans le meme bloc
package.json(aucun code applicatif touche) :react-devtools-core.shell-quote->^1.8.4@expo/cli.undici->^6.27.0react-native,@react-native/dev-middleware,metro,react-devtools-core) ->^7.5.11@expo/xcpretty->^4.2.0,@istanbuljs/load-nyc-config->^3.15.0)@expo/cli.tar->^7.5.16+Strategie retenue : une seule PR groupant les 9 overrides dans le meme bloc
package.json(au lieu de 5 PRs separees), suivie d'unnpm installunique et d'une verification manuelle ciblee sur #97 (le seul cas a risque reel : Fast Refresh, debugger websocket, build EAS).Bloc
overridesfinal propose :Ordre de verification post-fix :
npm install,npm audit-> 0 finding sur les 5 packagesnpx expo start-> boot propre