[CL-SEC] fix(deps): shell-quote>=1.8.4 — закрывает critical GHSA-w7jw-789q-3m8p #495

Merged

andrei merged 1 commit from feature/claude-fix-shellquote-vuln into master 2026-06-09 15:53:55 +00:00

Conversation 0 Commits 1 Files changed 2 +6 -4

andrei commented 2026-06-09 15:53:11 +00:00

Owner

Copy link

Что сделано

fix(deps): pnpm override shell-quote >=1.8.4 (package.json + перегенерён pnpm-lock.yaml → shell-quote@1.8.4).

Зачем

Критическая уязвимость shell-quote <=1.8.3 (GHSA-w7jw-789q-3m8p — quote() не экранирует newlines) через цепочку app>@lifi/widget>react-i18next>react-native>react-devtools-core>shell-quote. pnpm audit --audit-level=high корректно блокировал CI/API+CI/App (это РЕАЛЬНАЯ уязвимость от свежего advisory, не network-flake). Override по установленному образцу (handlebars/cookie/undici/...).

План тестирования

• pnpm audit --audit-level=high → exit 0 (было: 1 critical; стало: 1 low ignored).
• lockfile integrity PASSED, supply-chain check PASSED, pre-push gate.

Где могу ошибаться

• shell-quote 1.8.4 — patch-релиз (backward-compatible); затронутая цепочка — dev-tools transitive (react-devtools-core внутри @lifi/widget), не runtime-critical путь.

## Что сделано fix(deps): pnpm override `shell-quote >=1.8.4` (package.json + перегенерён pnpm-lock.yaml → shell-quote@1.8.4). ## Зачем Критическая уязвимость **shell-quote <=1.8.3** (GHSA-w7jw-789q-3m8p — quote() не экранирует newlines) через цепочку `app>@lifi/widget>react-i18next>react-native>react-devtools-core>shell-quote`. `pnpm audit --audit-level=high` корректно блокировал CI/API+CI/App (это РЕАЛЬНАЯ уязвимость от свежего advisory, не network-flake). Override по установленному образцу (handlebars/cookie/undici/...). ## План тестирования - `pnpm audit --audit-level=high` → exit 0 (было: 1 critical; стало: 1 low ignored). - lockfile integrity PASSED, supply-chain check PASSED, pre-push gate. ## Где могу ошибаться - shell-quote 1.8.4 — patch-релиз (backward-compatible); затронутая цепочка — dev-tools transitive (react-devtools-core внутри @lifi/widget), не runtime-critical путь.

andrei added 1 commit 2026-06-09 15:53:11 +00:00

[CL-SEC] fix(deps): pnpm override shell-quote>=1.8.4 — закрывает critical GHSA-w7jw-789q-3m8p ... ba6ebf255d

Что сделано:
- package.json pnpm.overrides: +shell-quote >=1.8.4 (patched); pnpm-lock.yaml перегенерён → shell-quote@1.8.4.

Зачем: критическая уязвимость shell-quote <=1.8.3 (quote() не экранирует newlines, GHSA-w7jw-789q-3m8p) через app>@lifi/widget>react-i18next>react-native>react-devtools-core>shell-quote. pnpm audit --audit-level=high корректно блокировал CI/API+App (НЕ network-flake, как изначально думал — свежий advisory). Override по образцу handlebars/cookie/undici.

План тестирования: pnpm audit --audit-level=high → exit 0 (было critical, теперь 1 low ignored); lockfile integrity; pre-push gate.

Где могу ошибаться: shell-quote 1.8.4 — patch-релиз, backward-compatible; цепочка — dev-tools transitive (react-devtools-core), не runtime-critical.

andrei scheduled this pull request to auto merge when all checks succeed 2026-06-09 15:53:11 +00:00

andrei merged commit 7500da578d into master 2026-06-09 15:53:55 +00:00

andrei deleted branch feature/claude-fix-shellquote-vuln 2026-06-09 15:53:55 +00:00

andrei referenced this pull request from a commit 2026-06-09 15:53:57 +00:00

[CL-SEC] fix(deps): shell-quote>=1.8.4 — закрывает critical GHSA-w7jw-789q-3m8p (#495)

Sign in to join this conversation.

Reviewers

No reviewers

Labels

Clear labels

No items

No labels

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

europa-tech-srl/europatech!495

No description provided.