Dependency update tracking
Date: 2026-04-15
Branch: chore/deps-update-202604150725
Prerelease tag: v6.14.1-auto-deps-202604150728.0
Node.js: 22.x
pnpm: 10
This issue tracks the automated dependency update. It will be closed automatically when the linked PR is merged.
Dependency update results
- Check: success
- Build: failure
- Test: success
Build output
Semver bump log
package.json
lerna ^9.0.4 → ^9.0.7
lint-staged ^16.2.7 → ^16.4.0
packages/app-elements/package.json
@commercelayer/js-auth ^7.2.0 → ^7.4.0
@tailwindcss/postcss ^4.2.1 → ^4.2.2
@vitejs/plugin-react ^5.1.4 → ^5.2.0
i18next ^25.8.13 → ^25.10.10
lodash-es ^4.17.23 → ^4.18.1
msw ^2.12.10 → ^2.13.3
postcss ^8.5.6 → ^8.5.9
react-tooltip ^5.30.0 → ^5.30.1
swr ^2.4.0 → ^2.4.1
tailwindcss ^4.2.1 → ^4.2.2
type-fest ^5.4.4 → ^5.5.0
vite ^7.3.1 → ^7.3.2
packages/docs/package.json
@babel/preset-env ^7.29.0 → ^7.29.2
@storybook/addon-docs ^9.1.19 → ^9.1.20
@storybook/addon-links ^9.1.19 → ^9.1.20
@storybook/cli ^9.1.19 → ^9.1.20
@storybook/react-vite ^9.1.19 → ^9.1.20
@tailwindcss/postcss ^4.2.1 → ^4.2.2
@vitejs/plugin-react ^5.1.4 → ^5.2.0
babel-loader ^10.0.0 → ^10.1.1
msw ^2.13.2 → ^2.13.3
prettier ^3.8.1 → ^3.8.3
storybook ^9.1.19 → ^9.1.20
tailwindcss ^4.2.1 → ^4.2.2
vite ^7.3.1 → ^7.3.2
Audit log
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high │ node-tar Vulnerable to Arbitrary File │
│ │ Creation/Overwrite via Hardlink Path Traversal │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ tar │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <7.5.7 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=7.5.7 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ packages__docs>@storybook/cli>giget>tar │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-34x7-hfp2-rc4v │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high │ node-tar is Vulnerable to Arbitrary File Overwrite and │
│ │ Symlink Poisoning via Insufficient Path Sanitization │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ tar │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=7.5.2 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=7.5.3 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ packages__docs>@storybook/cli>giget>tar │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-8qq5-rm4j-mr97 │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high │ Arbitrary File Read/Write via Hardlink Target Escape │
│ │ Through Symlink Chain in node-tar Extraction │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ tar │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <7.5.8 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=7.5.8 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ packages__docs>@storybook/cli>giget>tar │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-83g3-92jg-28cx │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high │ tar has Hardlink Path Traversal via Drive-Relative │
│ │ Linkpath │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ tar │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=7.5.9 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=7.5.10 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ packages__docs>@storybook/cli>giget>tar │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-qffp-2rhf-9h96 │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high │ node-tar Symlink Path Traversal via Drive-Relative │
│ │ Linkpath │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ tar │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=7.5.10 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=7.5.11 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ packages__docs>@storybook/cli>giget>tar │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-9ppj-qmqm-q256 │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high │ Race Condition in node-tar Path Reservations via │
│ │ Unicode Ligature Collisions on macOS APFS │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package │ tar │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=7.5.3 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions │ >=7.5.4 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths │ packages__docs>@storybook/cli>giget>tar │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info │ https://github.com/advisories/GHSA-r6q2-hw4h-h46w │
└─────────────────────┴────────────────────────────────────────────────────────┘
6 vulnerabilities found
Severity: 6 high
Major updates log not updated
package.json
@biomejs/biome 2.4.4 → 2.4.12
packages/app-elements/package.json
@commercelayer/sdk 6.55.0 → 7.10.0
@hookform/resolvers ^3.10.0 → ^5.2.2
@types/node 25.5.0 → 25.6.0
@types/react 19.2.13 → 19.2.14
@vitejs/plugin-react ^5.2.0 → ^6.0.1
i18next ^25.10.10 → ^26.0.4
jsdom ^27.4.0 → ^29.0.2
monaco-editor 0.53.0 → 0.55.1
react 19.2.4 → 19.2.5
react-currency-input-field ^3.10.0 → ^4.0.5
react-datepicker ^8.10.0 → ^9.1.0
react-dom 19.2.4 → 19.2.5
react-hook-form 7.62.0 → 7.72.1
react-i18next ^15.7.4 → ^17.0.3
typescript ~5.9.3 → ~6.0.2
vite ^7.3.2 → ^8.0.8
vitest ^3.2.4 → ^4.1.4
zod ^3.25.76 → ^4.3.6
packages/docs/package.json
@hookform/resolvers ^3.10.0 → ^5.2.2
@storybook/addon-docs ^9.1.20 → ^10.3.5
@storybook/addon-links ^9.1.20 → ^10.3.5
@storybook/addon-styling-webpack ^2.0.0 → ^3.0.2
@storybook/cli ^9.1.20 → ^10.3.5
@storybook/icons ^1.6.0 → ^2.0.1
@storybook/react-vite ^9.1.20 → ^10.3.5
@types/node 25.5.0 → 25.6.0
@types/react 19.2.13 → 19.2.14
@vitejs/plugin-react ^5.2.0 → ^6.0.1
react 19.2.4 → 19.2.5
react-dom 19.2.4 → 19.2.5
react-hook-form 7.62.0 → 7.72.1
storybook ^9.1.20 → ^10.3.5
typescript ~5.9.3 → ~6.0.2
vite ^7.3.2 → ^8.0.8
vite-tsconfig-paths ^5.1.4 → ^6.1.1
zod ^3.25.76 → ^4.3.6
Dependency update tracking
Date:
2026-04-15Branch:
chore/deps-update-202604150725Prerelease tag:
v6.14.1-auto-deps-202604150728.0Node.js:
22.xpnpm:
10This issue tracks the automated dependency update. It will be closed automatically when the linked PR is merged.
Dependency update results
Build output
Semver bump log
Audit log
Major updates log not updated