[security] deps: vulnerability in ws (high) #97
Labels
No labels
autopilot:pending-human
source:analyste
source:defenseur
source:human
source:medic
status:approved
status:blocked
status:in-progress
status:needs-clarification
status:needs-fix
status:ready
status:review
status:triage
type:bug
type:feature
type:infra
type:refactor
type:schema
type:security
No milestone
No project
No assignees
1 participant
Notifications
Due date
No due date set.
Dependencies
No dependencies set.
Reference: maximus/simpl-liste#97
Loading…
Reference in a new issue
No description provided.
Delete branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Contexte
Detecte par le Defenseur (npm audit) le 2026-06-30. GHSA-96hv-2xvq-fx4p (memory exhaustion DoS, high, CVSS 7.5), range
6.0.0-6.2.3 || 7.0.0-7.5.10. Distinct de GHSA-58qx-3vcg-4xpx deja fixee en #92/#94 (qui ne couvrait que@expo/cli > ws@8.20.0, override existant^8.20.1sain, a NE PAS toucher).4 chaines transitives restantes non couvertes par l'override existant :
react-native@0.81.5 > ws@6.2.3(dependance directe declaree par react-native, aucunrequire('ws')trouve dans le JS de RN — probable residu, usage exact non confirme)@react-native/dev-middleware > ws@6.2.3(sert le websocket bridge Chrome DevTools/inspector)react-native > react-devtools-core > ws@7.5.10(pont React DevTools/Fast Refresh, actif en__DEV__)@expo/metro > metro > ws@7.5.10(dev server Metro, HMR/Fast Refresh push)Aucun bump amont de react-native ne corrige ce probleme (0.81.6 et le nightly 1000.0.0 restent dans la plage vulnerable ; issue similaire deja fermee sans fix cote Meta, facebook/react-native#45108). L'override local est la seule voie.
Travail a faire
package.json(sans toucher@expo/cli.wsexistant) :npm install, verifiernpm ls ws(4 chaines overridden sur 7.5.11+,@expo/cli > ws@8.21.0inchange)npm audit-> 0 finding wsFichiers concernes
package.json(blocoverrides)package-lock.json(regenere)Surface de test
Dev tooling uniquement, mais risque reel (contrairement aux 4 autres issues du meme lot) :
npx expo start-> boot propreOptions
^7.5.11(version minimale corrigeant le CVE, bump patch pour metro/react-devtools-core deja en 7.5.10, bump majeur 6->7 pour react-native/dev-middleware mais minimal)^8.20.1(meme version que@expo/cli) — bump majeur supplementaire sans benefice, risque non justifieCriteres d'acceptation
npm audit --json | jq '.vulnerabilities.ws'videnpm ls ws: les 4 chaines resolues en >=7.5.11 (overridden),@expo/cli > ws@8.21.0inchangeComplexite estimee
Medium — changement package.json trivial, mais multi-scope (4 parents) + verification manuelle obligatoire avant merge (seul cas du lot #95-#99 avec risque runtime dev-tooling reel).
Questions ouvertes
react-native > ws@6.2.3(dependance directe sans require visible) : probable residu historique, a confirmer par l'absence de regression apres override.Plan global
Fait partie du lot #95-#99 (5 fixes deps du meme scan Defenseur). Voir issue #96 pour le detail du plan combine et le bloc
overridesfinal complet.