Skip to content

chore: remediate postcss and ws CVEs#129

Merged
Kirrrusha merged 2 commits into
mainfrom
sec-scan
May 24, 2026
Merged

chore: remediate postcss and ws CVEs#129
Kirrrusha merged 2 commits into
mainfrom
sec-scan

Conversation

@Kirrrusha
Copy link
Copy Markdown
Collaborator

@Kirrrusha Kirrrusha commented May 24, 2026
edited
Loading

Коммит готов: 4be2eafchore: remediate postcss and ws CVEs.

На ветке sec-scan сейчас два security-коммита (плюс предыдущая работа по audit). Ниже текст для MR.

Summary

Закрываем Dependabot-алерты по транзитивным и прямым зависимостям, которые Dependabot не мог обновить автоматически (security_update_not_possible).

Пакет Было Стало Как Severity
@babel/plugin-transform-modules-systemjs 7.29.0 7.29.4 pnpm.overrides High
fast-uri 3.1.0 3.1.2 pnpm.overrides High
postcss 8.5.6 8.5.10 pnpm.overrides Moderate
ws 8.20.0 8.20.1 devDependencies Moderate

Добавлен .github/dependabot.yml — еженедельные PR с обновлениями npm.

Что делают уязвимости

@babel/plugin-transform-modules-systemjs (High)

При компиляции специально подготовленного JS уязвимая версия Babel может сгенерировать выходной код с выполнением произвольного кода на машине, где идёт сборка (CI / dev). Риск выше, если в пайплайн попадает недоверенный исходник.

fast-uri (High)

Ошибки парсинга URI (%2F, %2E, percent-encoded authority) позволяют обойти path/host-based политики — приложение может по-разному интерпретировать URL и принять «опасный» адрес за безопасный.

postcss (Moderate)

При сериализации CSS в строку не экранировался </style>. Если CSS формируется из недоверенных данных и вставляется в HTML внутри <style>, возможен XSS — выход из блока стилей и инъекция HTML/скрипта.

ws (Moderate)

В websocket.close() при передаче TypedArray как reason библиотека могла утечь неинициализированную память процесса удалённому клиенту (information disclosure). У нас ws используется в dev (reload-сервер, jsdom в тестах) — риск для прод-пользователей минимален, патч всё равно нужен.

Test plan

Примечание: ветка sec-scan расходится с origin/sec-scan (локально 2 коммита, на remote 1). Перед push может понадобиться git pull --rebase origin sec-scan или force-push — как принято у вас в команде.

github-actions Bot added a commit that referenced this pull request May 24, 2026
@github-actions
Upload pr129-cloudhood-chrome-4be2eaf.zip (4be2e)
0596235 
Pull request: #129
Commit: 4be2eaf
github-actions Bot added a commit that referenced this pull request May 24, 2026
@github-actions
Upload pr129-cloudhood-firefox-4be2eaf.zip (4be2e)
ef64723 
Pull request: #129
Commit: 4be2eaf
@github-actions
Copy link
Copy Markdown

github-actions Bot commented May 24, 2026
edited
Loading

🤖 Pull request artifacts

file commit
pr129-cloudhood-chrome-e6c989c.zip e6c989c
pr129-cloudhood-firefox-e6c989c.zip e6c989c
pr129-cloudhood-firefox-sources-e6c989c.zip e6c989c

github-actions Bot added a commit that referenced this pull request May 24, 2026
@github-actions
Upload pr129-cloudhood-firefox-sources-4be2eaf.zip (4be2e)
e955c07 
Pull request: #129
Commit: 4be2eaf
github-actions Bot added a commit that referenced this pull request May 24, 2026
@github-actions
Upload pr129-cloudhood-chrome-e6c989c.zip (e6c98)
6994a4c 
Pull request: #129
Commit: e6c989c
github-actions Bot added a commit that referenced this pull request May 24, 2026
@github-actions
Upload pr129-cloudhood-firefox-e6c989c.zip (e6c98)
6445223 
Pull request: #129
Commit: e6c989c
github-actions Bot added a commit that referenced this pull request May 24, 2026
@github-actions
Upload pr129-cloudhood-firefox-sources-e6c989c.zip (e6c98)
c757e70 
Pull request: #129
Commit: e6c989c
@Kirrrusha Kirrrusha merged commit 29740fc into main May 24, 2026
10 checks passed
@Kirrrusha Kirrrusha deleted the sec-scan branch May 24, 2026 14:01
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

@Egorzaa Egorzaa Awaiting requested review from Egorzaa Egorzaa is a code owner

@JustPilz JustPilz Awaiting requested review from JustPilz JustPilz is a code owner

@raidenmiro raidenmiro Awaiting requested review from raidenmiro raidenmiro is a code owner

@AndreyTheWeb AndreyTheWeb Awaiting requested review from AndreyTheWeb AndreyTheWeb is a code owner

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@Kirrrusha