starred/note-gen
1
0
Fork 0
mirror of https://github.com/codexu/note-gen.git synced 2026-04-25 04:45:53 +03:00
Code Issues 153 Projects Releases 5 Packages Wiki Activity

[PR #914] fix: bump deps, add pnpm overrides #809

New issue
Open
opened 2026-03-02 03:41:49 +03:00 by kerem · 0 comments
kerem commented 2026-03-02 03:41:49 +03:00
Owner
Copy link

📋 Pull Request Information

Original PR: https://github.com/codexu/note-gen/pull/914
Author: @Pleasurecruise
Created: 2/27/2026
Status: 🔄 Open

Base: devHead: fix-dependency

📝 Commits (2)

  • 9df935b fix: bump deps, change tauri script, add pnpm overrides
  • 2241ab2 Update package.json

📊 Changes

2 files changed (+549 additions, -572 deletions)

View changed files

📝 package.json (+13 -7)
📝 pnpm-lock.yaml (+536 -565)

📄 Description

Fix

Fix next jspdf minimatch etc. dependencies issue.

Update dependencies: bump several dependencies (including diff, jspdf, lodash/lodash-es, markdown-it, mermaid, and pin Next to 15.5.12), and add pnpm.overrides for minimatch to enforce safe versions. The pnpm lockfile was regenerated to reflect these upgrades and overrides. These changes address compatibility and security/versioning concerns.

Before

┌─────────────────────┬────────────────────────────────────────────────────────┐
│ critical            │ Next.js is vulnerable to RCE in React flight protocol  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.3.0-canary.0 <15.3.6                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.3.6                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-9qr9-h5gf-34mp      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ critical            │ jsPDF has Local File Inclusion/Path Traversal          │
│                     │ vulnerability                                          │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=3.0.4                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.0.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-f8cm-6447-x5h2      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Valibot has a ReDoS vulnerability in `EMOJI_REGEX`     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ valibot                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=0.31.0 <1.2.0                                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=1.2.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>tauri-plugin-clipboard-api>valibot                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-vqpr-j7v3-hqw9      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Next Vulnerable to Denial of Service with Server       │
│                     │ Components                                             │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.3.0-canary.0 <15.3.7                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.3.7                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-mwv6-3258-q52c      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Next.js HTTP request deserialization can lead to DoS   │
│                     │ when using insecure React Server Components            │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.3.0-canary.0 <15.3.9                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.3.9                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-h25m-26qc-wcjf      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ jsPDF has PDF Injection in AcroFormChoiceField that    │
│                     │ allows Arbitrary JavaScript Execution                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=4.0.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.1.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-pqxr-3g65-p328      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ jsPDF Vulnerable to Denial of Service (DoS) via        │
│                     │ Unvalidated BMP Dimensions in BMPDecoder               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=4.0.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.1.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-95fx-jjr5-f39c      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ jsPDF has a PDF Injection in AcroForm module allows    │
│                     │ Arbitrary JavaScript Execution                         │
│                     │ (RadioButton.createOption and "AS" property)           │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <4.2.0                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.2.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-p5xg-68wr-hm3m      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ jsPDF has a PDF Object Injection via Unsanitized Input │
│                     │ in addJS Method                                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <4.2.0                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.2.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-9vjf-qc39-jprp      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ jsPDF Affected by Client-Side/Server-Side Denial of    │
│                     │ Service via Malicious GIF Dimensions                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <4.2.0                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.2.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-67pg-wm7f-q7fj      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ minimatch has a ReDoS via repeated wildcards with      │
│                     │ non-matching literal in pattern                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ minimatch                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <3.1.3                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=3.1.3                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint>minimatch                                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-3ppc-4f35-3m26      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ minimatch has a ReDoS via repeated wildcards with      │
│                     │ non-matching literal in pattern                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ minimatch                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=9.0.0 <9.0.6                                         │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=9.0.6                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint-config-next>@typescript-eslint/eslint-        │
│                     │ plugin>@typescript-eslint/type-utils>@typescript-      │
│                     │ eslint/typescript-estree>minimatch                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-3ppc-4f35-3m26      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Rollup 4 has Arbitrary File Write via Path Traversal   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ rollup                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=4.0.0 <4.59.0                                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.59.0                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>@tailwindcss/vite>vite>rollup                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-mw96-cpmx-2vgc      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ minimatch has ReDoS: matchOne() combinatorial          │
│                     │ backtracking via multiple non-adjacent GLOBSTAR        │
│                     │ segments                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ minimatch                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <3.1.3                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=3.1.3                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint>minimatch                                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-7r86-cg39-jmmj      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ minimatch has ReDoS: matchOne() combinatorial          │
│                     │ backtracking via multiple non-adjacent GLOBSTAR        │
│                     │ segments                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ minimatch                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=9.0.0 <9.0.7                                         │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=9.0.7                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint-config-next>@typescript-eslint/eslint-        │
│                     │ plugin>@typescript-eslint/type-utils>@typescript-      │
│                     │ eslint/typescript-estree>minimatch                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-7r86-cg39-jmmj      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ minimatch ReDoS: nested *() extglobs generate          │
│                     │ catastrophically backtracking regular expressions      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ minimatch                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <3.1.4                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=3.1.4                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint>minimatch                                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-23c5-xmqv-rm74      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ minimatch ReDoS: nested *() extglobs generate          │
│                     │ catastrophically backtracking regular expressions      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ minimatch                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=9.0.0 <9.0.7                                         │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=9.0.7                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint-config-next>@typescript-eslint/eslint-        │
│                     │ plugin>@typescript-eslint/type-utils>@typescript-      │
│                     │ eslint/typescript-estree>minimatch                     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-23c5-xmqv-rm74      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Next.js Affected by Cache Key Confusion for Image      │
│                     │ Optimization API Routes                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.0.0 <=15.4.4                                      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.4.5                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-g5qg-72qw-gw5v      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Next.js Content Injection Vulnerability for Image      │
│                     │ Optimization                                           │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.0.0 <=15.4.4                                      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.4.5                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-xv57-4mr9-wg8v      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Next.js Improper Middleware Redirect Handling Leads to │
│                     │ SSRF                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.0.0-canary.0 <15.4.7                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.4.7                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-4342-x723-ch2f      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Next Server Actions Source Code Exposure               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.3.0-canary.0 <15.3.7                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.3.7                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-w37m-7fhw-fmv9      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Lodash has Prototype Pollution Vulnerability in        │
│                     │ `_.unset` and `_.omit` functions                       │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ lodash-es                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=4.0.0 <=4.17.22                                      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.17.23                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>lodash-es                                            │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-xxjr-mmjv-4gpg      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Lodash has Prototype Pollution Vulnerability in        │
│                     │ `_.unset` and `_.omit` functions                       │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ lodash                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=4.0.0 <=4.17.22                                      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.17.23                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>lodash                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-xxjr-mmjv-4gpg      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ Next.js self-hosted applications vulnerable to DoS via │
│                     │ Image Optimizer remotePatterns configuration           │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=10.0.0 <15.5.10                                      │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.5.10                                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-9g9p-9gw9-jx7f      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ js-yaml has prototype pollution in merge (<<)          │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ js-yaml                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=4.0.0 <4.1.1                                         │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.1.1                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint>js-yaml                                       │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-mh29-5h37-fv8m      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ jsPDF Vulnerable to Stored XMP Metadata Injection      │
│                     │ (Spoofing & Integrity Violation)                       │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=4.0.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.1.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-vm32-vv63-w422      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ jsPDF has Shared State Race Condition in addJS Plugin  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ jspdf                                                  │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=4.0.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=4.1.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>jspdf                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-cjw8-79x6-5cj4      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ markdown-it is has a Regular Expression Denial of      │
│                     │ Service (ReDoS)                                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ markdown-it                                            │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=13.0.0 <14.1.1                                       │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=14.1.1                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>markdown-it                                          │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-38c4-r59v-3vqw      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ moderate            │ ajv has ReDoS when using `$data` option                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ ajv                                                    │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <6.14.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=6.14.0                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>eslint>ajv                                           │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-2g4f-4pwh-qvx6      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ low                 │ Next.js has a Cache poisoning vulnerability due to     │
│                     │ omission of the Vary header                            │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ next                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=15.3.0 <15.3.3                                       │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=15.3.3                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>next                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-r2fc-ccr8-96c4      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ low                 │ jsdiff has a Denial of Service vulnerability in        │
│                     │ parsePatch and applyPatch                              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ diff                                                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=6.0.0 <8.0.3                                         │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=8.0.3                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>diff                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-73rr-hh4g-fpgx      │
└─────────────────────┴────────────────────────────────────────────────────────┘
31 vulnerabilities found
Severity: 2 low | 12 moderate | 15 high | 2 critical

After

┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Valibot has a ReDoS vulnerability in `EMOJI_REGEX`     │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ valibot                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ >=0.31.0 <1.2.0                                        │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=1.2.0                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ .>tauri-plugin-clipboard-api>valibot                   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-vqpr-j7v3-hqw9      │
└─────────────────────┴────────────────────────────────────────────────────────┘
1 vulnerabilities found
Severity: 1 high

🔄 This issue represents a GitHub Pull Request. It cannot be merged through Gitea due to API limitations.

## 📋 Pull Request Information **Original PR:** https://github.com/codexu/note-gen/pull/914 **Author:** [@Pleasurecruise](https://github.com/Pleasurecruise) **Created:** 2/27/2026 **Status:** 🔄 Open **Base:** `dev` ← **Head:** `fix-dependency` --- ### 📝 Commits (2) - [`9df935b`](https://github.com/codexu/note-gen/commit/9df935b9b0cae16b3bf7ac5116c08f44ade2c3dc) fix: bump deps, change tauri script, add pnpm overrides - [`2241ab2`](https://github.com/codexu/note-gen/commit/2241ab227256beb6cdaa52eff14b223d67931cad) Update package.json ### 📊 Changes **2 files changed** (+549 additions, -572 deletions) <details> <summary>View changed files</summary> 📝 `package.json` (+13 -7) 📝 `pnpm-lock.yaml` (+536 -565) </details> ### 📄 Description ## Fix Fix `next` `jspdf` `minimatch` etc. dependencies issue. Update dependencies: bump several dependencies (including diff, jspdf, lodash/lodash-es, markdown-it, mermaid, and pin Next to 15.5.12), and add pnpm.overrides for minimatch to enforce safe versions. The pnpm lockfile was regenerated to reflect these upgrades and overrides. These changes address compatibility and security/versioning concerns. ## Before ``` ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ critical │ Next.js is vulnerable to RCE in React flight protocol │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=15.3.0-canary.0 <15.3.6 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=15.3.6 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-9qr9-h5gf-34mp │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ critical │ jsPDF has Local File Inclusion/Path Traversal │ │ │ vulnerability │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <=3.0.4 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=4.0.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-f8cm-6447-x5h2 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ Valibot has a ReDoS vulnerability in `EMOJI_REGEX` │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ valibot │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=0.31.0 <1.2.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=1.2.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>tauri-plugin-clipboard-api>valibot │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-vqpr-j7v3-hqw9 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ Next Vulnerable to Denial of Service with Server │ │ │ Components │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=15.3.0-canary.0 <15.3.7 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=15.3.7 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-mwv6-3258-q52c │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ Next.js HTTP request deserialization can lead to DoS │ │ │ when using insecure React Server Components │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=15.3.0-canary.0 <15.3.9 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=15.3.9 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-h25m-26qc-wcjf │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ jsPDF has PDF Injection in AcroFormChoiceField that │ │ │ allows Arbitrary JavaScript Execution │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <=4.0.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=4.1.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-pqxr-3g65-p328 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ jsPDF Vulnerable to Denial of Service (DoS) via │ │ │ Unvalidated BMP Dimensions in BMPDecoder │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <=4.0.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=4.1.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-95fx-jjr5-f39c │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ jsPDF has a PDF Injection in AcroForm module allows │ │ │ Arbitrary JavaScript Execution │ │ │ (RadioButton.createOption and "AS" property) │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <4.2.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=4.2.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-p5xg-68wr-hm3m │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ jsPDF has a PDF Object Injection via Unsanitized Input │ │ │ in addJS Method │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <4.2.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=4.2.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-9vjf-qc39-jprp │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ jsPDF Affected by Client-Side/Server-Side Denial of │ │ │ Service via Malicious GIF Dimensions │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <4.2.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=4.2.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-67pg-wm7f-q7fj │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ minimatch has a ReDoS via repeated wildcards with │ │ │ non-matching literal in pattern │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <3.1.3 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=3.1.3 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>eslint>minimatch │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-3ppc-4f35-3m26 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ minimatch has a ReDoS via repeated wildcards with │ │ │ non-matching literal in pattern │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=9.0.0 <9.0.6 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=9.0.6 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>eslint-config-next>@typescript-eslint/eslint- │ │ │ plugin>@typescript-eslint/type-utils>@typescript- │ │ │ eslint/typescript-estree>minimatch │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-3ppc-4f35-3m26 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ Rollup 4 has Arbitrary File Write via Path Traversal │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ rollup │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=4.0.0 <4.59.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=4.59.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>@tailwindcss/vite>vite>rollup │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-mw96-cpmx-2vgc │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ minimatch has ReDoS: matchOne() combinatorial │ │ │ backtracking via multiple non-adjacent GLOBSTAR │ │ │ segments │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <3.1.3 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=3.1.3 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>eslint>minimatch │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-7r86-cg39-jmmj │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ minimatch has ReDoS: matchOne() combinatorial │ │ │ backtracking via multiple non-adjacent GLOBSTAR │ │ │ segments │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=9.0.0 <9.0.7 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=9.0.7 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>eslint-config-next>@typescript-eslint/eslint- │ │ │ plugin>@typescript-eslint/type-utils>@typescript- │ │ │ eslint/typescript-estree>minimatch │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-7r86-cg39-jmmj │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ minimatch ReDoS: nested *() extglobs generate │ │ │ catastrophically backtracking regular expressions │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <3.1.4 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=3.1.4 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>eslint>minimatch │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-23c5-xmqv-rm74 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ minimatch ReDoS: nested *() extglobs generate │ │ │ catastrophically backtracking regular expressions │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ minimatch │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=9.0.0 <9.0.7 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=9.0.7 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>eslint-config-next>@typescript-eslint/eslint- │ │ │ plugin>@typescript-eslint/type-utils>@typescript- │ │ │ eslint/typescript-estree>minimatch │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-23c5-xmqv-rm74 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ moderate │ Next.js Affected by Cache Key Confusion for Image │ │ │ Optimization API Routes │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=15.0.0 <=15.4.4 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=15.4.5 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-g5qg-72qw-gw5v │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ moderate │ Next.js Content Injection Vulnerability for Image │ │ │ Optimization │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=15.0.0 <=15.4.4 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=15.4.5 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-xv57-4mr9-wg8v │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ moderate │ Next.js Improper Middleware Redirect Handling Leads to │ │ │ SSRF │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=15.0.0-canary.0 <15.4.7 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=15.4.7 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-4342-x723-ch2f │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ moderate │ Next Server Actions Source Code Exposure │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=15.3.0-canary.0 <15.3.7 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=15.3.7 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-w37m-7fhw-fmv9 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ moderate │ Lodash has Prototype Pollution Vulnerability in │ │ │ `_.unset` and `_.omit` functions │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ lodash-es │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=4.0.0 <=4.17.22 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=4.17.23 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>lodash-es │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-xxjr-mmjv-4gpg │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ moderate │ Lodash has Prototype Pollution Vulnerability in │ │ │ `_.unset` and `_.omit` functions │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ lodash │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=4.0.0 <=4.17.22 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=4.17.23 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>lodash │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-xxjr-mmjv-4gpg │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ moderate │ Next.js self-hosted applications vulnerable to DoS via │ │ │ Image Optimizer remotePatterns configuration │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=10.0.0 <15.5.10 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=15.5.10 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-9g9p-9gw9-jx7f │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ moderate │ js-yaml has prototype pollution in merge (<<) │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ js-yaml │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=4.0.0 <4.1.1 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=4.1.1 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>eslint>js-yaml │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-mh29-5h37-fv8m │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ moderate │ jsPDF Vulnerable to Stored XMP Metadata Injection │ │ │ (Spoofing & Integrity Violation) │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <=4.0.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=4.1.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-vm32-vv63-w422 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ moderate │ jsPDF has Shared State Race Condition in addJS Plugin │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <=4.0.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=4.1.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>jspdf │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-cjw8-79x6-5cj4 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ moderate │ markdown-it is has a Regular Expression Denial of │ │ │ Service (ReDoS) │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ markdown-it │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=13.0.0 <14.1.1 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=14.1.1 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>markdown-it │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-38c4-r59v-3vqw │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ moderate │ ajv has ReDoS when using `$data` option │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ ajv │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ <6.14.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=6.14.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>eslint>ajv │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-2g4f-4pwh-qvx6 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ low │ Next.js has a Cache poisoning vulnerability due to │ │ │ omission of the Vary header │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=15.3.0 <15.3.3 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=15.3.3 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>next │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-r2fc-ccr8-96c4 │ └─────────────────────┴────────────────────────────────────────────────────────┘ ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ low │ jsdiff has a Denial of Service vulnerability in │ │ │ parsePatch and applyPatch │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ diff │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=6.0.0 <8.0.3 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=8.0.3 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>diff │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-73rr-hh4g-fpgx │ └─────────────────────┴────────────────────────────────────────────────────────┘ 31 vulnerabilities found Severity: 2 low | 12 moderate | 15 high | 2 critical ``` ## After ``` ┌─────────────────────┬────────────────────────────────────────────────────────┐ │ high │ Valibot has a ReDoS vulnerability in `EMOJI_REGEX` │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Package │ valibot │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Vulnerable versions │ >=0.31.0 <1.2.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Patched versions │ >=1.2.0 │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ Paths │ .>tauri-plugin-clipboard-api>valibot │ ├─────────────────────┼────────────────────────────────────────────────────────┤ │ More info │ https://github.com/advisories/GHSA-vqpr-j7v3-hqw9 │ └─────────────────────┴────────────────────────────────────────────────────────┘ 1 vulnerabilities found Severity: 1 high ``` --- <sub>🔄 This issue represents a GitHub Pull Request. It cannot be merged through Gitea due to API limitations.</sub>
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
dev
release
codex/file-agent-safety
codex/onboarding-guide
codex/record-filter-popover
codex/activity-calendar
codex/mcp-optimization
codex/local-speech-default
codex/fix-folder-paste-target
codex/agent-write-policy-session-confirm
pref/agent
fix/record-sync
feature/markdown-image-local-path
fix/editor-cursor-jump
fix/table-empty-cell-nbsp
feature/tiptap-search-replace
feature/folder-sync-tool
feature/sync-toggle-enhancement
feature/webdav-sync
feature/s3-sync
feature/editor-centered-content
feature/editor-undo-redo
fix/gitlab-sync-404
note-gen-v0.27.7
note-gen-v0.27.6
note-gen-v0.27.5
note-gen-v0.27.4
note-gen-v0.27.3
note-gen-v0.27.2
note-gen-v0.27.1
note-gen-v0.27.0
note-gen-v0.26.5
note-gen-v0.26.4
note-gen-v0.26.3
note-gen-v0.26.2
note-gen-v0.26.1
note-gen-v0.26.0
note-gen-v0.25.4
note-gen-v0.25.3
note-gen-v0.25.2
note-gen-v0.25.1
note-gen-v0.25.0
note-gen-v0.24.1
note-gen-v0.24.0
note-gen-v0.23.7
note-gen-v0.23.6
note-gen-v0.23.5
note-gen-v0.23.4
note-gen-v0.23.3
note-gen-v0.23.2
note-gen-v0.23.1
note-gen-v0.23.0
note-gen-v0.22.4
note-gen-v0.22.3
note-gen-v0.22.2
note-gen-v0.22.1
note-gen-v0.22.0
note-gen-v0.21.3
note-gen-v0.21.2
note-gen-v0.21.1
note-gen-v0.21.0
note-gen-v0.20.3
note-gen-v0.20.2
note-gen-v0.20.1
note-gen-v0.20.0
note-gen-v0.19.11
note-gen-v0.19.10
note-gen-v0.19.9
note-gen-v0.19.8
note-gen-v0.19.7
note-gen-v0.19.6
note-gen-v0.19.5
note-gen-v0.19.4
note-gen-v0.19.3
note-gen-v0.19.2
note-gen-v0.19.1
note-gen-v0.19.0
note-gen-v0.18.3
note-gen-v0.18.2
note-gen-v0.18.1
note-gen-v0.18.0
note-gen-v0.17.3
note-gen-v0.17.2
note-gen-v0.17.1
note-gen-v0.17.0
note-gen-v0.16.5
note-gen-v0.16.4
note-gen-v0.16.3
note-gen-v0.16.2
app-v0.16.1
app-v0.16.0
app-v0.15.0
app-v0.14.0
app-v0.13.7
app-v0.13.6
app-v0.13.5
app-v0.13.4
app-v0.13.3
app-v0.13.2
app-v0.13.1
app-v0.13.0
app-v0.12.4
app-v0.12.3
app-v0.12.2
app-v0.12.1
app-v0.12.0
app-v0.11.0
app-v0.10.8
app-v0.10.7
app-v0.10.6
app-v0.10.5
app-v0.10.4
app-v0.10.3
app-v0.10.2
app-v0.10.1
app-v0.10.0
app-v0.9.1
app-v0.9.0
app-v0.8.3
app-v0.8.2
app-v0.8.1
app-v0.8.0
app-v0.7.9
app-v0.7.8
app-v0.7.7
app-v0.7.6
app-v0.7.5
app-v0.7.4
app-v0.7.3
app-v0.7.2
app-v0.7.1
app-v0.7.0
app-v0.6.5
app-v0.6.4
app-v0.6.3
app-v0.6.2
app-v0.6.1
app-v0.6.0
app-v0.5.20
app-v0.5.19
app-v0.5.18
app-v0.5.17
app-v0.5.16
app-v0.5.14
app-v0.5.13
app-v0.5.12
app-v0.5.11
app-v0.5.10
app-v0.5.9
app-v0.5.8
app-v0.5.7
app-v0.5.6
app-v0.5.5
app-v0.5.4
app-v0.5.3
app-v0.5.2
app-v0.5.1
app-v0.5.0
app-v0.4.4
app-v0.4.3
app-v0.4.2
app-v0.4.1
app-v0.4.0
app-v0.3.0
app-v0.2.1
app-v0.2.0
app-v0.1.0
Labels
Clear labels   
bug

   
duplicate

   
feature

   
platform: Android

   
platform: Linux

   
platform: Windows

   
platform: iOS

   
platform: macOS

   
priority: high

   
priority: low

   
pull-request

Mirrored from GitHub Pull Request

  
question

   
wontfix
No labels
bug
duplicate
feature
platform: Android
platform: Linux
platform: Windows
platform: iOS
platform: macOS
priority: high
priority: low
pull-request
question
wontfix
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference
starred/note-gen#809
No description provided.