Skip to content

pnpm dependency update 2026-04-20 #1088

Open
Open
pnpm dependency update 2026-04-20#1088
Assignees
commercelayer-ci
Labels
dependenciesPull requests that update a dependency file
@commercelayer-ci

Description

@commercelayer-ci
commercelayer-ci
opened on Apr 20, 2026

Dependency update tracking

Date: 2026-04-20
Branch: chore/deps-update-202604200908
Prerelease tag: v7.0.1-auto-deps-202604200912.0
Node.js: 22.x
pnpm: 10

This issue tracks the automated dependency update. It will be closed automatically when the linked PR is merged.

Dependency update results

  • Check: success
  • Build: success
  • Test: success

Semver bump log

packages/app-elements/package.json
  msw             ^2.13.3  →  ^2.13.4
  postcss          ^8.5.9  →  ^8.5.10
  react-toastify  ^11.0.5  →  ^11.1.0
  type-fest        ^5.5.0  →   ^5.6.0

packages/docs/package.json
  msw  ^2.13.3  →  ^2.13.4

Audit log

┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ node-tar Vulnerable to Arbitrary File                  │
│                     │ Creation/Overwrite via Hardlink Path Traversal         │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ tar                                                    │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <7.5.7                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=7.5.7                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ packages__docs>@storybook/cli>giget>tar                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-34x7-hfp2-rc4v      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ node-tar is Vulnerable to Arbitrary File Overwrite and │
│                     │ Symlink Poisoning via Insufficient Path Sanitization   │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ tar                                                    │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=7.5.2                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=7.5.3                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ packages__docs>@storybook/cli>giget>tar                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-8qq5-rm4j-mr97      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Arbitrary File Read/Write via Hardlink Target Escape   │
│                     │ Through Symlink Chain in node-tar Extraction           │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ tar                                                    │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <7.5.8                                                 │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=7.5.8                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ packages__docs>@storybook/cli>giget>tar                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-83g3-92jg-28cx      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ tar has Hardlink Path Traversal via Drive-Relative     │
│                     │ Linkpath                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ tar                                                    │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=7.5.9                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=7.5.10                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ packages__docs>@storybook/cli>giget>tar                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-qffp-2rhf-9h96      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ node-tar Symlink Path Traversal via Drive-Relative     │
│                     │ Linkpath                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ tar                                                    │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=7.5.10                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=7.5.11                                               │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ packages__docs>@storybook/cli>giget>tar                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-9ppj-qmqm-q256      │
└─────────────────────┴────────────────────────────────────────────────────────┘
┌─────────────────────┬────────────────────────────────────────────────────────┐
│ high                │ Race Condition in node-tar Path Reservations via       │
│                     │ Unicode Ligature Collisions on macOS APFS              │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Package             │ tar                                                    │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Vulnerable versions │ <=7.5.3                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Patched versions    │ >=7.5.4                                                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ Paths               │ packages__docs>@storybook/cli>giget>tar                │
├─────────────────────┼────────────────────────────────────────────────────────┤
│ More info           │ https://github.com/advisories/GHSA-r6q2-hw4h-h46w      │
└─────────────────────┴────────────────────────────────────────────────────────┘
6 vulnerabilities found
Severity: 6 high

Major updates log not updated

packages/app-elements/package.json
  @commercelayer/sdk            ^6.57.0  →  ^7.11.0
  @hookform/resolvers           ^3.10.0  →   ^5.2.2
  @types/node                 ^22.19.17  →  ^25.6.0
  @types/react                  19.2.13  →  19.2.14
  @vitejs/plugin-react           ^5.2.0  →   ^6.0.1
  i18next                     ^25.10.10  →  ^26.0.6
  jsdom                         ^27.4.0  →  ^29.0.2
  monaco-editor                 ~0.53.0  →  ~0.55.1
  react                          19.2.4  →   19.2.5
  react-currency-input-field    ^3.10.0  →   ^4.0.5
  react-datepicker              ^8.10.0  →   ^9.1.0
  react-dom                      19.2.4  →   19.2.5
  react-hook-form                7.62.0  →   7.72.1
  react-i18next                 ^15.7.4  →  ^17.0.4
  typescript                     ^5.9.3  →   ^6.0.3
  vite                           ^7.3.2  →   ^8.0.9
  vitest                         ^3.2.4  →   ^4.1.4
  zod                          ^3.25.76  →   ^4.3.6

packages/docs/package.json
  @hookform/resolvers                 ^3.10.0  →   ^5.2.2
  @storybook/addon-docs               ^9.1.20  →  ^10.3.5
  @storybook/addon-links              ^9.1.20  →  ^10.3.5
  @storybook/addon-styling-webpack     ^2.0.0  →   ^3.0.2
  @storybook/cli                      ^9.1.20  →  ^10.3.5
  @storybook/icons                     ^1.6.0  →   ^2.0.1
  @storybook/react-vite               ^9.1.20  →  ^10.3.5
  @types/node                       ^22.19.17  →  ^25.6.0
  @types/react                        19.2.13  →  19.2.14
  @vitejs/plugin-react                 ^5.2.0  →   ^6.0.1
  react                                19.2.4  →   19.2.5
  react-dom                            19.2.4  →   19.2.5
  react-hook-form                      7.62.0  →   7.72.1
  storybook                           ^9.1.20  →  ^10.3.5
  typescript                           ^5.9.3  →   ^6.0.3
  vite                                 ^7.3.2  →   ^8.0.9
  vite-tsconfig-paths                  ^5.1.4  →   ^6.1.1
  zod                                ^3.25.76  →   ^4.3.6

Metadata

Metadata

Assignees

Labels

dependenciesPull requests that update a dependency file

Type

No type

Projects

No projects

Milestone

No milestone

Relationships

None yet

Development

No branches or pull requests

Issue actions