simpl-liste/SECURITY.md

SECURITY — simpl-liste

Rapport d'etat securite. Scanne quotidiennement par defenseur-simpl-liste (04:15 UTC) dans ~/claude-code/defenseurs/.

CVE resolues

2026-04-24 — Overrides @xmldom/xmldom et uuid

Correction via overrides dans package.json. Aucune n'etait exploitable a runtime dans l'APK : chaine concernee est build-time (iOS build via xcode, Expo CLI, plist serialization) ou dev-tunnel (ngrok).

CVE	Severite	Package	Fix version	Etat
GHSA-2v35-w6hq-6mfw	HIGH	@xmldom/xmldom	^0.8.13	Resolu
GHSA-f6ww-3ggp-fr8h	HIGH	@xmldom/xmldom	^0.8.13	Resolu
GHSA-x6wf-f3px-wcqx	HIGH	@xmldom/xmldom	^0.8.13	Resolu
GHSA-j759-j44w-7fr8	HIGH	@xmldom/xmldom	^0.8.13	Resolu
GHSA-w5hq-g745-h8pq	MEDIUM	uuid	^11.0.0	Mitigation partielle (voir ci-dessous)

CVE residuelles

GHSA-w5hq-g745-h8pq — uuid buffer bounds check

Status : mitigation partielle. L'advisory npm flag uuid <14.0.0 meme apres override a ^11.0.0. Bug concerne uuid.v3() / v5() / v6() quand buf param est fourni. Les consommateurs transitifs (xcode, @expo/ngrok) utilisent uniquement uuid.v4() — donc pas de code path vulnerable atteint en pratique.

Non bump vers ^14.0.0 car ESM-only (casserait les imports CJS de xcode et ngrok dans la chaine build iOS). Voir spec decision D3 pour details.

Impact : cascade via 18 advisories transitives (uuid → xcode/ngrok → expo/* → ...), toutes remontant a la meme racine. Non-bloquant pour la production.

Re-evaluation : lors du prochain upgrade Expo SDK (quand xcode + ngrok passeront a une version compatible avec uuid@^14 ou retireront uuid).

Procedure de scan manuel

cd ~/claude-code/defenseurs && npx tsx src/defenseur.ts defenseur-simpl-liste

Politique de review

• HIGH : fix immediat via PR.
• MEDIUM : triage sous 7 jours, fix si exploitable.
• LOW : accepte tel quel, documente ici.