[CL-DEPS] Security: vitest 4 (critical), react-router 7.17 (RCE), qs override #62

Merged

andrei merged 1 commit from feature/claude-dep-update-20260611 into master 2026-06-11 11:35:21 +00:00

Conversation 0 Commits 1 Files changed 5 +108 -343

andrei commented 2026-06-11 11:20:10 +00:00

Owner

Copy link

Что сделано

ui: vitest ^3.0.5→^4.1.8, react-router-dom ^7.1.5→^7.17.0; pnpm overrides: react-router(-dom) ^7.17.0, qs ^6.15.2, vitest ^4.1.8. Типизация vi.fn под vitest 4 в двух тестах.

Зачем

• CRITICAL GHSA-5xrq-8626-4rwp: Vitest UI server позволяет чтение и исполнение произвольных файлов (в lockfile была 3.2.4, fix ≥3.2.6).
• HIGH: react-router 7.13.0 — неаутентифицированный RCE через десериализацию turbo-stream (fix ≥7.14.2) + DoS __manifest (≥7.15.0) + XSS.
• MODERATE: qs DoS (fix ≥6.15.2).

План тестирования

ui build чисто; ui vitest: 1121 passed / 0 failed; pnpm audit: critical/high/moderate закрыты, остался 1 low — phantom advisory «cli<1.0.0»: пакета нет в lockfile, Paths в advisory пустые, присутствовал до изменений.

Где могу ошибаться

Полный root-suite через scripts/run-vitest-stable.mjs в этой среде падает на spawnSync pnpm ENOENT (Windows PATH, не код) — CI Forgejo прогонит его в Linux.

## Что сделано ui: vitest ^3.0.5→^4.1.8, react-router-dom ^7.1.5→^7.17.0; pnpm overrides: react-router(-dom) ^7.17.0, qs ^6.15.2, vitest ^4.1.8. Типизация vi.fn под vitest 4 в двух тестах. ## Зачем - CRITICAL GHSA-5xrq-8626-4rwp: Vitest UI server позволяет чтение и исполнение произвольных файлов (в lockfile была 3.2.4, fix ≥3.2.6). - HIGH: react-router 7.13.0 — неаутентифицированный RCE через десериализацию turbo-stream (fix ≥7.14.2) + DoS `__manifest` (≥7.15.0) + XSS. - MODERATE: qs DoS (fix ≥6.15.2). ## План тестирования ui build чисто; ui vitest: 1121 passed / 0 failed; pnpm audit: critical/high/moderate закрыты, остался 1 low — phantom advisory «cli<1.0.0»: пакета нет в lockfile, Paths в advisory пустые, присутствовал до изменений. ## Где могу ошибаться Полный root-suite через scripts/run-vitest-stable.mjs в этой среде падает на spawnSync pnpm ENOENT (Windows PATH, не код) — CI Forgejo прогонит его в Linux.

andrei added 1 commit 2026-06-11 11:20:10 +00:00

[CL-DEPS] chore(deps): security-обновление vitest 4 / react-router 7.17 / qs ... b5d66d4b9b

ui: vitest ^3.0.5 -> ^4.1.8 (CRITICAL GHSA-5xrq-8626-4rwp: Vitest UI
server arbitrary file read/execute, уязвимая 3.2.4 в lockfile),
react-router-dom ^7.1.5 -> ^7.17.0 (HIGH: unauth RCE через
turbo-stream десериализацию, fix >=7.14.2; DoS __manifest >=7.15.0).
pnpm overrides: react-router(-dom) ^7.17.0, qs ^6.15.2 (DoS),
vitest ^4.1.8.

Типы тестов: vi.fn generic под vitest 4 MockInstance
(CommentThread.test, MarkdownEditor.test).

ui build clean, ui vitest: 1121 passed / 0 failed.
pnpm audit: 1 low — phantom advisory 'cli<1.0.0', пакета нет в
lockfile (Paths пустые), существовал до изменения.

andrei merged commit 1cbfcc6ffc into master 2026-06-11 11:35:21 +00:00

andrei referenced this pull request from a commit 2026-06-11 11:35:22 +00:00

Merge pull request '[CL-DEPS] Security: vitest 4 (critical), react-router 7.17 (RCE), qs override' (#62) from feature/claude-dep-update-20260611 into master

Sign in to join this conversation.

Reviewers

No reviewers

Labels

Clear labels

No items

No labels

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

europa-tech-srl/europa-tech-agents!62

No description provided.