[security] deps: vulnerability in js-yaml (moderate) #98
Labels
No labels
autopilot:pending-human
source:analyste
source:defenseur
source:human
source:medic
status:approved
status:blocked
status:in-progress
status:needs-clarification
status:needs-fix
status:ready
status:review
status:triage
type:bug
type:feature
type:infra
type:refactor
type:schema
type:security
No milestone
No project
No assignees
1 participant
Notifications
Due date
No due date set.
Dependencies
No dependencies set.
Reference: maximus/simpl-liste#98
Loading…
Reference in a new issue
No description provided.
Delete branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Contexte
Detecte par le Defenseur (npm audit) le 2026-06-30. GHSA-h67p-54hq-rp68 (DoS quadratique via alias repetes dans une merge key, CWE-407, CVSS 5.3 moderate), deux ranges vulnerables :
<3.15.0et>=4.0.0 <=4.1.1.Deux chaines transitives independantes, aucune autre cachee (
npm ls js-yaml --all) :expo > @expo/cli > @expo/xcpretty@4.4.4 > js-yaml@4.1.1(formatage sortie xcodebuild, build iOS uniquement)react-native > babel-jest > babel-plugin-istanbul > @istanbuljs/load-nyc-config@1.1.0 > js-yaml@3.14.2(coverage Jest, jamais active dans ce projet — pas de config nyc/istanbul, pas de--coverage)Fix minimal :
3.15.0pour la branche 3.x,4.2.0pour la branche 4.x (4.1.1 encore vulnerable).Travail a faire
package.json->overrides(deux majors incompatibles, ne peuvent pas partager une seule contrainte) :npm installnpm ls js-yaml --all(4.2.x sous xcpretty, 3.15.x+ sous istanbul),npm audit-> 0 findingFichiers concernes
package.json(sectionoverrides)package-lock.json(regenere)Surface de test
Aucun Jest configure dans ce projet (
scripts.test= script node pur, pas de jest.config).babel-plugin-istanbuljamais invoque.@expo/xcprettysert uniquement en build iOS local/EAS (pas de pipeline iOS actif documente). Risque quasi nul des deux cotes. Verification :npm test(smoke root) reste vert.Options
Un seul override top-level serait impossible ici (les deux chaines exigent des majors js-yaml incompatibles) — deux scopes distincts obligatoires.
Criteres d'acceptation
npm auditne liste plus js-yamlnpm ls js-yaml --all: xcpretty >= 4.2.x, istanbul >= 3.15.xnpm testreste vertComplexite estimee
Triviale — un seul fichier modifie a la main, aucun code applicatif touche.
Plan global
Fait partie du lot #95-#99 (5 fixes deps du meme scan Defenseur). Voir issue #96 pour le detail du plan combine et le bloc
overridesfinal complet.