maximus/simpl-liste
1
0
Fork 0
Code Issues 3 Pull requests Projects Releases 15 Packages Wiki Activity Actions

fix: update vulnerable dependencies #28

Merged
maximus merged 2 commits from fix/simpl-liste-26-vulnerable-deps into master 2026-03-31 00:02:08 +00:00
Conversation 2 Commits 2 Files changed 1 +43 -43
maximus commented 2026-03-30 04:01:42 +00:00
Owner
Copy link

Summary

  • Add npm overrides for 6 vulnerable transitive dependencies
  • picomatch >= 4.0.4 (HIGH - method injection in POSIX character classes, ReDoS)
  • node-forge >= 1.4.0 (HIGH - basicConstraints bypass, signature forgery, DoS)
  • tar >= 7.5.13 (HIGH - symlink path traversal)
  • undici >= 6.23.1 (HIGH - WebSocket overflow, request smuggling, CRLF injection)
  • brace-expansion >= 2.0.3 (moderate - zero-step sequence hang)
  • yaml >= 2.8.3 (moderate - stack overflow via nested collections)

Test plan

  • npm audit returns 0 vulnerabilities
  • npm install completes without errors

Fixes #26

🤖 Generated with Claude Code

## Summary - Add npm overrides for 6 vulnerable transitive dependencies - **picomatch** >= 4.0.4 (HIGH - method injection in POSIX character classes, ReDoS) - **node-forge** >= 1.4.0 (HIGH - basicConstraints bypass, signature forgery, DoS) - **tar** >= 7.5.13 (HIGH - symlink path traversal) - **undici** >= 6.23.1 (HIGH - WebSocket overflow, request smuggling, CRLF injection) - **brace-expansion** >= 2.0.3 (moderate - zero-step sequence hang) - **yaml** >= 2.8.3 (moderate - stack overflow via nested collections) ## Test plan - [x] `npm audit` returns 0 vulnerabilities - [x] `npm install` completes without errors Fixes #26 🤖 Generated with [Claude Code](https://claude.com/claude-code)
maximus added 1 commit 2026-03-30 04:01:42 +00:00 
Add npm overrides for picomatch, node-forge, tar, undici, brace-expansion,
and yaml to resolve 6 security vulnerabilities (4 high, 2 moderate).

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
maximus commented 2026-03-30 05:00:45 +00:00
Author
Owner
Copy link

Reviewer automatique — needs-fix

Les overrides globaux avec des versions majeures uniques vont casser les dependances qui attendent des versions majeures anterieures. picomatch>=4.0.4 sera force sur des packages qui attendent v2/v3, brace-expansion>=2.0.3 cassera les consommateurs de v1, yaml>=2.8.3 cassera les consommateurs de v1. De plus, le seuil undici semble incorrect par rapport a l'advisory.

Problemes detectes

  • package.json:65 [high] L'override picomatch >= 4.0.4 force TOUTES les instances a v4+. Or l'issue mentionne des versions 2.3.1 et 3.0.1 dans l'arbre. tailwindcss depend de picomatch@^2.x — forcer v4 peut introduire des breaking changes (API differente entre majeurs). Utiliser des overrides cibles par parent, ex: "tailwindcss": { "picomatch": ">=2.3.2" } et "expo": { "picomatch": ">=4.0.4" }, ou bien specifier les 3 ranges fixes separement.
  • package.json:69 [high] L'override brace-expansion >= 2.0.3 force v2+ partout. Or l'issue signale aussi brace-expansion@1.1.12 (utilise par glob/minimatch). brace-expansion v1 et v2 ont des APIs differentes (v2 a des breaking changes). Cela peut casser les packages dependant de v1. Utiliser des overrides scopes ou au minimum >=1.1.13 pour les consommateurs v1.
  • package.json:70 [high] L'override yaml >= 2.8.3 force v2+ partout. Or l'issue signale aussi yaml@1.10.2 (utilise par @expo/ngrok). Le package yaml v1 et v2 ont des APIs completement differentes (v1: YAML.parse vs v2: module ES). Forcer v2 sur un consommateur de v1 va provoquer des erreurs runtime.
  • package.json:68 [medium] L'override specifie undici >= 6.23.1 mais l'issue indique que le fix est en 6.24.1 (version courante vulnerable: 6.23.0). Verifier quel est le minimum reel qui corrige la CVE — si c'est 6.24.1, l'override devrait etre >=6.24.1.
## Reviewer automatique — needs-fix Les overrides globaux avec des versions majeures uniques vont casser les dependances qui attendent des versions majeures anterieures. picomatch>=4.0.4 sera force sur des packages qui attendent v2/v3, brace-expansion>=2.0.3 cassera les consommateurs de v1, yaml>=2.8.3 cassera les consommateurs de v1. De plus, le seuil undici semble incorrect par rapport a l'advisory. ### Problemes detectes - **package.json:65** [high] L'override `picomatch >= 4.0.4` force TOUTES les instances a v4+. Or l'issue mentionne des versions 2.3.1 et 3.0.1 dans l'arbre. tailwindcss depend de picomatch@^2.x — forcer v4 peut introduire des breaking changes (API differente entre majeurs). Utiliser des overrides cibles par parent, ex: `"tailwindcss": { "picomatch": ">=2.3.2" }` et `"expo": { "picomatch": ">=4.0.4" }`, ou bien specifier les 3 ranges fixes separement. - **package.json:69** [high] L'override `brace-expansion >= 2.0.3` force v2+ partout. Or l'issue signale aussi brace-expansion@1.1.12 (utilise par glob/minimatch). brace-expansion v1 et v2 ont des APIs differentes (v2 a des breaking changes). Cela peut casser les packages dependant de v1. Utiliser des overrides scopes ou au minimum `>=1.1.13` pour les consommateurs v1. - **package.json:70** [high] L'override `yaml >= 2.8.3` force v2+ partout. Or l'issue signale aussi yaml@1.10.2 (utilise par @expo/ngrok). Le package yaml v1 et v2 ont des APIs completement differentes (v1: `YAML.parse` vs v2: module ES). Forcer v2 sur un consommateur de v1 va provoquer des erreurs runtime. - **package.json:68** [medium] L'override specifie `undici >= 6.23.1` mais l'issue indique que le fix est en 6.24.1 (version courante vulnerable: 6.23.0). Verifier quel est le minimum reel qui corrige la CVE — si c'est 6.24.1, l'override devrait etre `>=6.24.1`.
maximus added 1 commit 2026-03-30 06:03:42 +00:00 
Replace aggressive >=major overrides (picomatch>=4, brace-expansion>=2, etc.)
with npm audit fix which patches each dependency within its compatible semver
range: picomatch 2.3.2/3.0.2/4.0.4, brace-expansion 1.1.13/2.0.3/5.0.5,
undici 6.24.1, node-forge 1.4.0, tar 7.5.13, yaml 1.10.3/2.8.3.

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
maximus commented 2026-03-30 07:00:48 +00:00
Author
Owner
Copy link

Reviewer automatique — approved

Le fix precedent (overrides globaux) a ete corrige. Seul package-lock.json est modifie via npm audit fix, avec des bumps patch/minor dans les memes versions majeures (picomatch 2.3.2/3.0.2/4.0.4, node-forge 1.4.0, tar 7.5.13, undici 6.24.1, brace-expansion 1.1.13/2.0.3/5.0.5, yaml 1.10.3/2.8.3). Aucun override manuel, aucun risque de casse de compatibilite.

## Reviewer automatique — approved Le fix precedent (overrides globaux) a ete corrige. Seul package-lock.json est modifie via npm audit fix, avec des bumps patch/minor dans les memes versions majeures (picomatch 2.3.2/3.0.2/4.0.4, node-forge 1.4.0, tar 7.5.13, undici 6.24.1, brace-expansion 1.1.13/2.0.3/5.0.5, yaml 1.10.3/2.8.3). Aucun override manuel, aucun risque de casse de compatibilite.
maximus merged commit 723f5d6501 into master 2026-03-31 00:02:08 +00:00
Sign in to join this conversation.
Reviewers
No reviewers
Labels
Clear labels   
source:analyste

Créée par le Super-Analyste

  
source:defenseur

Créée par l Escouade Défenseur

  
source:human

Créée par un humain

  
source:medic

Créée par le Medic (auto-détection)

  
status:approved

PR approuvée, prête à merger

  
status:blocked

Bloquée (question, dépendance, clarification)

  
status:in-progress

Un agent (Medic/Dev) travaille dessus

  
status:needs-fix

Reviewer demande des corrections

  
status:ready

Analysée et documentée, prête à prendre

  
status:review

PR créée, en attente du Reviewer

  
status:triage

Nouvelle issue, pas encore analysée

  
type:bug

Correction de bug → Medic

  
type:feature

Nouvelle fonctionnalité → Dev

  
type:infra

Config, CI/CD, déploiement → Dev

  
type:refactor

Refactoring / amélioration technique → Dev

  
type:schema

Modèle de données / migrations → Dev

  
type:security

Issue de sécurité → Medic ou Dev

No labels
source:analyste
source:defenseur
source:human
source:medic
status:approved
status:blocked
status:in-progress
status:needs-fix
status:ready
status:review
status:triage
type:bug
type:feature
type:infra
type:refactor
type:schema
type:security
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: maximus/simpl-liste#28
No description provided.
Delete branch "fix/simpl-liste-26-vulnerable-deps"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?