[security] deps: vulnerability in tar (moderate) #99

Closed
opened 2026-07-01 00:06:35 +00:00 by maximus · 0 comments
Owner

Contexte

Detecte par le Defenseur (npm audit) le 2026-06-30. GHSA-vmf3-w455-68vh ("node-tar applies PAX size override to intermediary GNU long-name/long-link headers, file smuggling"), moderate, range <=7.5.15.

Chaine transitive unique : expo > @expo/cli@54.0.24 > tar@7.5.15 (dev-only, tooling CLI). @expo/cli declare ^7.5.2, compatible avec 7.5.19 (dernier patch registre, corrige le CVE des 7.5.16).

Travail a faire

  • Ajouter "tar": "^7.5.19" dans le bloc overrides["@expo/cli"] existant
  • npm install
  • Verifier npm ls tar >= 7.5.16, npm audit ne liste plus tar

Fichiers concernes

  • package.json (section overrides.@expo/cli)
  • package-lock.json (regenere)

Surface de test

Aucune (dev-only, tooling CLI Expo). Verification : npx expo start / npx expo --version fonctionnent toujours.

Criteres d'acceptation

  • npm audit --json | jq '.vulnerabilities.tar' vide
  • npm ls tar >= 7.5.16
  • Overrides existants (ws, undici) inchanges dans le bloc @expo/cli

Complexite estimee

Simple.

Plan global

Fait partie du lot #95-#99 (5 fixes deps du meme scan Defenseur). Voir issue #96 pour le detail du plan combine et le bloc overrides final complet.

## Contexte Detecte par le Defenseur (npm audit) le 2026-06-30. GHSA-vmf3-w455-68vh ("node-tar applies PAX size override to intermediary GNU long-name/long-link headers, file smuggling"), moderate, range `<=7.5.15`. Chaine transitive unique : `expo > @expo/cli@54.0.24 > tar@7.5.15` (dev-only, tooling CLI). `@expo/cli` declare `^7.5.2`, compatible avec `7.5.19` (dernier patch registre, corrige le CVE des `7.5.16`). ## Travail a faire - [ ] Ajouter `"tar": "^7.5.19"` dans le bloc `overrides["@expo/cli"]` existant - [ ] `npm install` - [ ] Verifier `npm ls tar` >= 7.5.16, `npm audit` ne liste plus tar ## Fichiers concernes - `package.json` (section `overrides.@expo/cli`) - `package-lock.json` (regenere) ## Surface de test Aucune (dev-only, tooling CLI Expo). Verification : `npx expo start` / `npx expo --version` fonctionnent toujours. ## Criteres d'acceptation - [ ] `npm audit --json | jq '.vulnerabilities.tar'` vide - [ ] `npm ls tar` >= 7.5.16 - [ ] Overrides existants (`ws`, `undici`) inchanges dans le bloc `@expo/cli` ## Complexite estimee Simple. ## Plan global Fait partie du lot #95-#99 (5 fixes deps du meme scan Defenseur). Voir issue #96 pour le detail du plan combine et le bloc `overrides` final complet.
maximus added the
type:security
source:defenseur
labels 2026-07-01 00:06:35 +00:00
maximus added the
status:ready
label 2026-07-01 00:17:46 +00:00
maximus added
status:approved
and removed
status:ready
labels 2026-07-01 00:32:45 +00:00
Sign in to join this conversation.
No milestone
No project
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/simpl-liste#99
No description provided.