Skip to content

fix: undici を脆弱性修正版へ更新(#134, v0.72.1)#146

Merged
loadbalance-sudachi-kun merged 1 commit into
mainfrom
fix/undici-security-134
Jun 26, 2026
Merged

fix: undici を脆弱性修正版へ更新(#134, v0.72.1)#146
loadbalance-sudachi-kun merged 1 commit into
mainfrom
fix/undici-security-134

Conversation

@loadbalance-sudachi-kun

Copy link
Copy Markdown
Contributor

概要

Wiz main ブランチスキャン #134 が報告した undici 脆弱性を解消する。web-content-extraction skill の undici を以下に更新した。

経路 変更前 変更後
直接依存(package.json ^8.5.0 8.4.1 8.5.0
推移依存(jsdom@29.1.1 経由, undici@^7.25.0 7.27.2 7.28.0

解消した advisory(undici)

  • TLS 証明書検証バイパス(SOCKS5 ProxyAgent で requestTls が drop される)
  • Set-Cookie の percent-decoding 経由 HTTP ヘッダーインジェクション
  • keep-alive ソケット再利用による HTTP レスポンスキュー汚染
  • WebSocket クライアントの DoS(フラグメント数バイパス)
  • SOCKS5 プロキシプール再利用によるクロスオリジンルーティング 等

方針

undici は自動更新スクリプト update-deps.mjsTARGETS(defuddle / jsdom / pdfjs-dist)に含まれない=手動レビュー必須の HTTP 層という設計のため、手動で更新した。jsdom は既に最新(29.1.1)で undici@^7.25.0 を許容するため、推移依存は lockfile 再生成で 7.28.0 に解決され、override は不要。

検証

  • npm auditfound 0 vulnerabilities(修正前は undici high 1 件)
  • skill テスト node --test40 件 pass / 0 fail
  • 構文チェック(CI 同等)→ 全 .mjs ok
  • npm ci --ignore-scripts(CI の install 手順)→ lockfile / package.json 整合 OK
  • 差分は undici 関連のみ(他の依存に巻き込み更新なし)

バージョン

動作変更を伴わないセキュリティ依存 bump = patch(0.72.1)。CHANGELOG 追記済み。

Closes #134

web-content-extraction skill の undici を直接 8.4.1→8.5.0、jsdom 経由の
推移依存 7.27.2→7.28.0 に更新。Wiz #134 が報告した脆弱性(TLS 証明書検証
バイパス / Set-Cookie HTTP ヘッダーインジェクション / レスポンスキュー汚染 /
WebSocket DoS 等)を解消し npm audit を 0 件にした。undici は update-deps.mjs
の自動更新対象外(手動レビュー必須の HTTP 層)のため手動更新。skill テスト
40 件 pass・npm ci 整合確認済み。
@loadbalance-sudachi-kun loadbalance-sudachi-kun merged commit 59c5613 into main Jun 26, 2026
12 checks passed
@loadbalance-sudachi-kun loadbalance-sudachi-kun deleted the fix/undici-security-134 branch June 26, 2026 03:11
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

Wiz - 'main' Branch Scan Overview

1 participant