Skip to content

fix: bump deps, add pnpm overrides#914

Open
Pleasurecruise wants to merge 2 commits intocodexu:devfrom
Pleasurecruise:fix-dependency
Open

fix: bump deps, add pnpm overrides#914
Pleasurecruise wants to merge 2 commits intocodexu:devfrom
Pleasurecruise:fix-dependency

Conversation

@Pleasurecruise
Copy link
Contributor

@Pleasurecruise Pleasurecruise commented Feb 27, 2026

Fix

Fix next jspdf minimatch etc. dependencies issue.

Update dependencies: bump several dependencies (including diff, jspdf, lodash/lodash-es, markdown-it, mermaid, and pin Next to 15.5.12), and add pnpm.overrides for minimatch to enforce safe versions. The pnpm lockfile was regenerated to reflect these upgrades and overrides. These changes address compatibility and security/versioning concerns.

Before

┌─────────────────────┬────────────────────────────────────────────────────────┐
│ critical            │ Next.js is vulnerable to RCE in React flight protocol  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.3.0-canary.0 <15.3.6                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.3.6                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-9qr9-h5gf-34mp      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ critical            │ jsPDF has Local File Inclusion/Path Traversal          │
│                     │ vulnerability                                          │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=3.0.4                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.0.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-f8cm-6447-x5h2      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Valibot has a ReDoS vulnerability in `EMOJI_REGEX`     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ valibot                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=0.31.0 <1.2.0                                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=1.2.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>tauri-plugin-clipboard-api>valibot                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-vqpr-j7v3-hqw9      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Next Vulnerable to Denial of Service with Server       │
│                     │ Components                                             │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.3.0-canary.0 <15.3.7                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.3.7                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-mwv6-3258-q52c      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Next.js HTTP request deserialization can lead to DoS   │
│                     │ when using insecure React Server Components            │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.3.0-canary.0 <15.3.9                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.3.9                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-h25m-26qc-wcjf      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ jsPDF has PDF Injection in AcroFormChoiceField that    │
│                     │ allows Arbitrary JavaScript Execution                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=4.0.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.1.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-pqxr-3g65-p328      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ jsPDF Vulnerable to Denial of Service (DoS) via        │
│                     │ Unvalidated BMP Dimensions in BMPDecoder               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=4.0.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.1.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-95fx-jjr5-f39c      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ jsPDF has a PDF Injection in AcroForm module allows    │
│                     │ Arbitrary JavaScript Execution                         │
│                     │ (RadioButton.createOption and "AS" property)           │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <4.2.0                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.2.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-p5xg-68wr-hm3m      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ jsPDF has a PDF Object Injection via Unsanitized Input │
│                     │ in addJS Method                                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <4.2.0                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.2.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-9vjf-qc39-jprp      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ jsPDF Affected by Client-Side/Server-Side Denial of    │
│                     │ Service via Malicious GIF Dimensions                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <4.2.0                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.2.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-67pg-wm7f-q7fj      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ minimatch has a ReDoS via repeated wildcards with      │
│                     │ non-matching literal in pattern                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ minimatch                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <3.1.3                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=3.1.3                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint>minimatch                                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-3ppc-4f35-3m26      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ minimatch has a ReDoS via repeated wildcards with      │
│                     │ non-matching literal in pattern                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ minimatch                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=9.0.0 <9.0.6                                         │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=9.0.6                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint-config-next>@typescript-eslint/eslint-        │
│                     │ plugin>@typescript-eslint/type-utils>@typescript-      │
│                     │ eslint/typescript-estree>minimatch                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-3ppc-4f35-3m26      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Rollup 4 has Arbitrary File Write via Path Traversal   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ rollup                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=4.0.0 <4.59.0                                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.59.0                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>@tailwindcss/vite>vite>rollup                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-mw96-cpmx-2vgc      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ minimatch has ReDoS: matchOne() combinatorial          │
│                     │ backtracking via multiple non-adjacent GLOBSTAR        │
│                     │ segments                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ minimatch                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <3.1.3                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=3.1.3                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint>minimatch                                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-7r86-cg39-jmmj      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ minimatch has ReDoS: matchOne() combinatorial          │
│                     │ backtracking via multiple non-adjacent GLOBSTAR        │
│                     │ segments                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ minimatch                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=9.0.0 <9.0.7                                         │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=9.0.7                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint-config-next>@typescript-eslint/eslint-        │
│                     │ plugin>@typescript-eslint/type-utils>@typescript-      │
│                     │ eslint/typescript-estree>minimatch                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-7r86-cg39-jmmj      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ minimatch ReDoS: nested *() extglobs generate          │
│                     │ catastrophically backtracking regular expressions      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ minimatch                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <3.1.4                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=3.1.4                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint>minimatch                                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-23c5-xmqv-rm74      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ minimatch ReDoS: nested *() extglobs generate          │
│                     │ catastrophically backtracking regular expressions      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ minimatch                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=9.0.0 <9.0.7                                         │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=9.0.7                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint-config-next>@typescript-eslint/eslint-        │
│                     │ plugin>@typescript-eslint/type-utils>@typescript-      │
│                     │ eslint/typescript-estree>minimatch                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-23c5-xmqv-rm74      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Next.js Affected by Cache Key Confusion for Image      │
│                     │ Optimization API Routes                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.0.0 <=15.4.4                                      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.4.5                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-g5qg-72qw-gw5v      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Next.js Content Injection Vulnerability for Image      │
│                     │ Optimization                                           │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.0.0 <=15.4.4                                      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.4.5                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-xv57-4mr9-wg8v      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Next.js Improper Middleware Redirect Handling Leads to │
│                     │ SSRF                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.0.0-canary.0 <15.4.7                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.4.7                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-4342-x723-ch2f      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Next Server Actions Source Code Exposure               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.3.0-canary.0 <15.3.7                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.3.7                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-w37m-7fhw-fmv9      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Lodash has Prototype Pollution Vulnerability in        │
│                     │ `_.unset` and `_.omit` functions                       │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ lodash-es                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=4.0.0 <=4.17.22                                      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.17.23                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>lodash-es                                            │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-xxjr-mmjv-4gpg      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Lodash has Prototype Pollution Vulnerability in        │
│                     │ `_.unset` and `_.omit` functions                       │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ lodash                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=4.0.0 <=4.17.22                                      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.17.23                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>lodash                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-xxjr-mmjv-4gpg      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Next.js self-hosted applications vulnerable to DoS via │
│                     │ Image Optimizer remotePatterns configuration           │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=10.0.0 <15.5.10                                      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.5.10                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-9g9p-9gw9-jx7f      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ js-yaml has prototype pollution in merge (<<)          │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ js-yaml                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=4.0.0 <4.1.1                                         │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.1.1                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint>js-yaml                                       │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-mh29-5h37-fv8m      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ jsPDF Vulnerable to Stored XMP Metadata Injection      │
│                     │ (Spoofing & Integrity Violation)                       │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=4.0.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.1.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-vm32-vv63-w422      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ jsPDF has Shared State Race Condition in addJS Plugin  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=4.0.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.1.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-cjw8-79x6-5cj4      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ markdown-it is has a Regular Expression Denial of      │
│                     │ Service (ReDoS)                                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ markdown-it                                            │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=13.0.0 <14.1.1                                       │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=14.1.1                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>markdown-it                                          │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-38c4-r59v-3vqw      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ ajv has ReDoS when using `$data` option                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ ajv                                                    │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <6.14.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=6.14.0                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint>ajv                                           │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-2g4f-4pwh-qvx6      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ low                 │ Next.js has a Cache poisoning vulnerability due to     │
│                     │ omission of the Vary header                            │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.3.0 <15.3.3                                       │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.3.3                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-r2fc-ccr8-96c4      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ low                 │ jsdiff has a Denial of Service vulnerability in        │
│                     │ parsePatch and applyPatch                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ diff                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=6.0.0 <8.0.3                                         │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=8.0.3                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>diff                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-73rr-hh4g-fpgx      │
└─────────────────────┴────────────────────────────────────────────────────────┘
31 vulnerabilities found
Severity: 2 low | 12 moderate | 15 high | 2 critical

After

┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Valibot has a ReDoS vulnerability in `EMOJI_REGEX`     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ valibot                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=0.31.0 <1.2.0                                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=1.2.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>tauri-plugin-clipboard-api>valibot                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-vqpr-j7v3-hqw9      │
└─────────────────────┴────────────────────────────────────────────────────────┘
1 vulnerabilities found
Severity: 1 high

@Pleasurecruise
fix: bump deps, change tauri script, add pnpm overrides
9df935b 
Update project scripts and dependencies: change the `tauri` script to run `tauri dev`, bump several dependencies (including diff, jspdf, lodash/lodash-es, markdown-it, mermaid, and pin Next to 15.5.12), and add pnpm.overrides for minimatch to enforce safe versions. The pnpm lockfile was regenerated to reflect these upgrades and overrides. These changes address compatibility and security/versioning concerns.
@Pleasurecruise
Update package.json
2241ab2
Copilot AI review requested due to automatic review settings February 27, 2026 19:18
Copilot AI reviewed Feb 27, 2026
View reviewed changes
Copy link

Copilot AI left a comment

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Pull request overview

Updates dependency versions and adds pnpm overrides to address dependency security/compatibility issues (notably Next.js and minimatch), with a regenerated pnpm lockfile to reflect the new resolutions.

Changes:

  • Bump several direct dependencies (e.g., next, jspdf, diff, lodash/lodash-es, markdown-it, mermaid).
  • Add pnpm.overrides to force patched minimatch versions.
  • Regenerate pnpm-lock.yaml to apply upgrades/overrides across the dependency graph.

Reviewed changes

Copilot reviewed 1 out of 2 changed files in this pull request and generated 4 comments.

File Description
package.json Updates dependency versions, pins next to 15.5.12, and adds pnpm.overrides for minimatch.
pnpm-lock.yaml Regenerated lockfile reflecting the dependency bumps and newly added minimatch overrides.
Files not reviewed (1)
  • pnpm-lock.yaml: Language not supported

💡 Add Copilot custom instructions for smarter, more guided reviews. Learn how to get started.

package.json
Comment on lines +161 to +162
"minimatch@<3.1.3": "3.1.5",
"minimatch@>=9.0.0 <9.0.6": "9.0.9"
Copy link

Copilot AI Feb 27, 2026

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

The minimatch override ranges don’t fully cover the vulnerable versions listed in the PR description (there are advisories requiring >=3.1.4 and >=9.0.7). Consider widening these to minimatch@<3.1.4 and minimatch@>=9.0.0 <9.0.7 so future dependency resolutions can’t land on 3.1.3 or 9.0.6.

Suggested change
"minimatch@<3.1.3": "3.1.5",
"minimatch@>=9.0.0 <9.0.6": "9.0.9"
"minimatch@<3.1.4": "3.1.5",
"minimatch@>=9.0.0 <9.0.7": "9.0.9"

Copilot uses AI. Check for mistakes.
pnpm-lock.yaml
Comment on lines +8 to +9
minimatch@<3.1.3: 3.1.5
minimatch@>=9.0.0 <9.0.6: 9.0.9
Copy link

Copilot AI Feb 27, 2026

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Same as package.json: the lockfile overrides only target minimatch@<3.1.3 and minimatch@>=9.0.0 <9.0.6, but some advisories require >=3.1.4 and >=9.0.7. Consider updating the override keys to cover <3.1.4 and <9.0.7 to prevent reintroducing vulnerable versions in future lockfile regenerations.

Suggested change
minimatch@<3.1.3: 3.1.5
minimatch@>=9.0.0 <9.0.6: 9.0.9
minimatch@<3.1.4: 3.1.5
minimatch@>=9.0.0 <9.0.7: 9.0.9

Copilot uses AI. Check for mistakes.
package.json
Comment on lines +114 to 116
"markdown-it": "^14.1.1",
"mermaid": "^11.12.3",
"mitt": "^3.0.1",
Copy link

Copilot AI Feb 27, 2026

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Upgrading mermaid pulls in langium@4.2.1 (via @mermaid-js/parser@1.0.0) which declares engines node>=20.10.0. If any contributors/CI run installs with Node 18 (still supported by Next 15) or with engine-strict enabled, installs may fail; consider documenting/enforcing the Node requirement via package.json "engines" or pinning mermaid/@mermaid-js/parser to a Node-18-compatible version.

Copilot uses AI. Check for mistakes.
pnpm-lock.yaml
Comment on lines +4067 to +4069
langium@4.2.1:
resolution: {integrity: sha512-zu9QWmjpzJcomzdJQAHgDVhLGq5bLosVak1KVa40NzQHXfqr4eAHupvnPOVXEoLkg6Ocefvf/93d//SB7du4YQ==}
engines: {node: '>=20.10.0', npm: '>=10.2.3'}
Copy link

Copilot AI Feb 27, 2026

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

langium@4.2.1 now has an engines constraint of node >=20.10.0 (and npm >=10.2.3). If the project intends to support Node 18 (which Next 15 still allows), this transitive upgrade (via @mermaid-js/parser@1.0.0) can break installs when engine checks are enforced; consider aligning the repo’s documented/enforced Node version or pinning dependencies to avoid a hard Node 20 requirement.

Copilot uses AI. Check for mistakes.
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

Copilot code review Copilot Copilot left review comments

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

2 participants

@Pleasurecruise