You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Доброго времени суток. Благодарю за отличный проект. У меня как раз в планах было сделать примерно тоже самое, но вы меня опередили.
После скачивания я чекнул его при помощи npm audit оказалось, что у вас в конфиге проекта прописаны очень старые версии npm-библиотек, содержащие CVE (публично известные уязвимости).
Может быть это потому, что:
либо вы начинали делать этот проект когда давно (например летом 2024) и только недавно доделали его при помощи LLM, но не обновили версии библиотек
либо же если вы завайбкодили данный проект совсем недавно с нуля, то скорее всего это из-за того, что Клод использовал именно те старые версии версии библиотек двухлетней давности, на которых лучше всего был обучен, если дело все таки в этом, то мои рекомендация:
подключить MCP-сервер context7 для того, что Клод мог пользовался и всегда имел доступ к документации последних актуальных версий библиотек
прописать ему в системном промте:
проверять при помощи веб-поиска самые последние актуальные версии библиотек и использовать именно их
так же прописать ему всегда при необходимость сверяться с документацией через context7
В принципе, как минимум я сам буду пробовать собирать проект исключительно с актуальными версиями библиотек. Если всё собирётся, могу сделать пулреквест.
Полный теминальный выхлоп команды npm audit (кликнете сюда, чтобы открыть/свернуть)
fireice@katana ~/git/kadr (main)
🐟 npm audit
# npm audit report
electron <=39.8.4
Severity: high
Electron has ASAR Integrity Bypass via resource modification - https://github.com/advisories/GHSA-vmqv-hx8q-j7mg
Electron: AppleScript injection in app.moveToApplicationsFolder on macOS - https://github.com/advisories/GHSA-5rqw-r77c-jp79
Electron: Service worker can spoof executeJavaScript IPC replies - https://github.com/advisories/GHSA-xj5x-m3f3-5x3h
Electron: Incorrect origin passed to permission request handler for iframe requests - https://github.com/advisories/GHSA-r5p7-gp4j-qhrx
Electron: Out-of-bounds read in second-instance IPC on macOS and Linux - https://github.com/advisories/GHSA-3c8v-cfp5-9885
Electron: nodeIntegrationInWorker not correctly scoped in shared renderer processes - https://github.com/advisories/GHSA-xwr5-m59h-vwqr
Electron: Use-after-free in offscreen child window paint callback - https://github.com/advisories/GHSA-532v-xpq5-8h95
Electron: Registry key path injection in app.setAsDefaultProtocolClient on Windows - https://github.com/advisories/GHSA-mwmh-mq4g-g6gr
Electron: Use-after-free in download save dialog callback - https://github.com/advisories/GHSA-9w97-2464-8783
Electron: Use-after-free in WebContents fullscreen, pointer-lock, and keyboard-lock permission callbacks - https://github.com/advisories/GHSA-8337-3p73-46f4
Electron: Use-after-free in PowerMonitor on Windows and macOS - https://github.com/advisories/GHSA-jjp3-mq3x-295m
Electron: Unquoted executable path in app.setLoginItemSettings on Windows - https://github.com/advisories/GHSA-jfqx-fxh3-c62j
Electron: HTTP Response Header Injection in custom protocol handlers and webRequest - https://github.com/advisories/GHSA-4p4r-m79c-wq3v
Electron: USB device selection not validated against filtered device list - https://github.com/advisories/GHSA-9899-m83m-qhpj
Electron: Crash in clipboard.readImage() on malformed clipboard image data - https://github.com/advisories/GHSA-f37v-82c4-4x64
Electron: Named window.open targets not scoped to the opener's browsing context - https://github.com/advisories/GHSA-f3pv-wv63-48x8
Electron: Renderer command-line switch injection via undocumented commandLineSwitches webPreference - https://github.com/advisories/GHSA-9wfr-w7mm-pc7f
fix available via `npm audit fix --force`
Will install electron@42.4.0, which is a breaking change
node_modules/electron
esbuild <=0.28.0
Severity: high
esbuild enables any website to send any requests to the development server and read the response - https://github.com/advisories/GHSA-67mh-4wv8-2f99
esbuild: Missing binary integrity verification in Deno module enables remote code execution via NPM_CONFIG_REGISTRY - https://github.com/advisories/GHSA-gv7w-rqvm-qjhr
fix available via `npm audit fix --force`
Will install vite@8.0.16, which is a breaking change
node_modules/esbuild
electron-vite <=3.0.0
Depends on vulnerable versions of esbuild
Depends on vulnerable versions of vite
node_modules/electron-vite
vite <=6.4.2
Depends on vulnerable versions of esbuild
node_modules/vite
tar <=7.5.15
Severity: high
node-tar Vulnerable to Arbitrary File Creation/Overwrite via Hardlink Path Traversal - https://github.com/advisories/GHSA-34x7-hfp2-rc4v
node-tar is Vulnerable to Arbitrary File Overwrite and Symlink Poisoning via Insufficient Path Sanitization - https://github.com/advisories/GHSA-8qq5-rm4j-mr97
Arbitrary File Read/Write via Hardlink Target Escape Through Symlink Chain in node-tar Extraction - https://github.com/advisories/GHSA-83g3-92jg-28cx
tar has Hardlink Path Traversal via Drive-Relative Linkpath - https://github.com/advisories/GHSA-qffp-2rhf-9h96
node-tar Symlink Path Traversal via Drive-Relative Linkpath - https://github.com/advisories/GHSA-9ppj-qmqm-q256
Race Condition in node-tar Path Reservations via Unicode Ligature Collisions on macOS APFS - https://github.com/advisories/GHSA-r6q2-hw4h-h46w
node-tar applies PAX size override to intermediary GNU long-name/long-link headers, causing tar parser interpretation differential (file smuggling) - https://github.com/advisories/GHSA-vmf3-w455-68vh
fix available via `npm audit fix --force`
Will install @electron/rebuild@4.0.4, which is a breaking change
node_modules/tar
@electron/node-gyp *
Depends on vulnerable versions of make-fetch-happen
Depends on vulnerable versions of tar
node_modules/@electron/node-gyp
@electron/rebuild 3.2.10 - 4.0.2
Depends on vulnerable versions of @electron/node-gyp
Depends on vulnerable versions of tar
node_modules/@electron/rebuild
cacache 14.0.0 - 18.0.4
Depends on vulnerable versions of tar
node_modules/cacache
make-fetch-happen 7.1.1 - 14.0.0
Depends on vulnerable versions of cacache
node_modules/make-fetch-happen
9 vulnerabilities (1 moderate, 8 high)
To address issues that do not require attention, run:
npm audit fix
To address all issues (including breaking changes), run:
npm audit fix --force
Отчёт по результатам проверки безопасности (npm audit) — Проект kadr
Дата проверки: 16 июня 2026 г. Проверяемый проект:kadr (GPU-ускоренный многодорожечный видеоредактор с интеграцией ИИ) Инструмент:npm audit
Примечания: критично выглядит: Cross-origin development server bypass: Любой веб-сайт может отправлять запросы на локальный dev-сервер esbuild и читать ответы (GHSA-67mh-4wv8-2f99): esbuild устанавливает заголовок Access-Control-Allow-Origin: для всех запросов, включая соединение SSE, что позволяет любым веб-сайтам отправлять любые запросы на сервер разработки и считывать ответы. Злоумышленник создаёт вредоносный сайт например malicious.example.com . Пользователь заходит на вредоносную веб-страницу. Злоумышленник отправляет запрос fetch('http://127.0.0.1:8000/main.js') с помощью JavaScript на этой вредоносной веб-странице. Этот запрос обычно блокируется политикой одного источника, но в данном случае это не так по указанным выше причинам. Злоумышленник получает содержимое файла http://127.0.0.1:8000/main.js.
Более серьёзный риск в Kadr: Vite
У Vite похожая CORS-проблема (GHSA-vg6x-rcgg-rjx6 (GHSA-vg6x-rcgg-rjx6)): внешний сайт мог читать ответы dev-сервера Vite. Патч: Vite ≥ 5.4.12. В Kadr: vite@5.4.8 — потенциально уязвима.
fs.allow: ['/'] разрешает Vite отдавать файлы с любого пути на диске (через механизм @fs/). Если к этому серверу на 127.0.0.1:5621 применим CORS-bypass, вредоносный сайт теоретически может читать не только исходный код Kadr'а, который и так уже лежит на GitHub или файлы проекта но и, например ~/.ssh/id_rsa, криптокошельки, личные документы. Это уже серьёзно. Поэтому перед использованием все устаревшие библиотеки надо обновить.
Минимально необходимые меры предосторожности (до обновления всех npm-библиотек, под которые код проекта возможно придётся адаптировать):
Не открывать случайные сайты, пока идёт npm run dev (особенно с фрагментами).
Обновить Vite до ≥ 5.4.12 (или актуальной 5.x). (hotfix)
В fragment workspace сузить fs.allow — не ['/'], а только каталог фрагментов. (hotfix)
📊 Полная сводка результатов
Метрика
Значение
Всего уязвимостей
9
Высокий уровень риска (High)
8
Умеренный уровень риска (Moderate)
1
Требуется ручное вмешательство / Force-обновление
Все 9
🔍 Детальный анализ уязвимостей
1. Electron (electron)
Текущая версия в проекте:^31.7.7
Критичность:Высокая (High)
Основные риски:
ASAR Integrity Bypass: Возможность обхода проверки целостности ASAR-архивов через модификацию ресурсов (GHSA-vmqv-hx8q-j7mg).
AppleScript injection: Инъекция скриптов на macOS при перемещении приложения в папку программ (GHSA-5rqw-r77c-jp79).
Service Worker Spoofing: Подмена ответов IPC при вызове executeJavaScript (GHSA-xj5x-m3f3-5x3h).
Out-of-bounds read: Чтение за пределами буфера при обработке второго инстанса IPC на macOS/Linux (GHSA-3c8v-cfp5-9885).
Use-after-free: Уязвимости освобождения памяти в различных коллбэках (offscreen paint, download save dialog, permissions) (GHSA-532v-xpq5-8h95, GHSA-9w97-2464-8783).
Registry key / Unquoted executable path: Проблемы на Windows при установке протоколов по умолчанию и автозапуске (GHSA-mwmh-mq4g-g6gr, GHSA-jfqx-fxh3-c62j).
Решение: Требуется обновление до electron@42.4.0 (мажорный апгрейд, несущий в себе ломающие изменения/breaking changes).
2. Esbuild (esbuild), Vite (vite), Electron-Vite (electron-vite)
Текущие версии в проекте:vite^5.4.8, electron-vite^2.3.0
Критичность:Высокая (High)
Основные риски:
Cross-origin development server bypass: Любой веб-сайт может отправлять запросы на локальный dev-сервер esbuild и читать ответы (GHSA-67mh-4wv8-2f99).
Remote Code Execution (RCE): Отсутствие верификации бинарников в модуле Deno через реестр NPM (GHSA-gv7w-rqvm-qjhr).
Решение: Обновление до vite@8.0.16 (мажорное обновление, содержащее breaking changes).
3. Tar (tar), @electron/rebuild (@electron/rebuild)
Arbitrary File Overwrite & Symlink Poisoning: Перезапись произвольных файлов из-за недостаточной очистки путей (GHSA-8qq5-rm4j-mr97).
Unicode Ligature Collisions: Состояние гонки (race condition) на файловой системе macOS APFS (GHSA-r6q2-hw4h-h46w).
Решение: Требуется обновление до @electron/rebuild@4.0.4 (breaking change).
🛠️ Варианты устранения
Warning
Все исправления для найденных уязвимостей требуют обновления до мажорных версий ключевых зависимостей (electron, vite, esbuild, @electron/rebuild). Это может привести к поломке API, несовместимости с текущим кодом проекта и потребовать адаптации исходного кода приложения.
Вариант А. Автоматическое форсированное обновление
Запуск команды:
npm audit fix --force
Плюсы: Быстрое обновление всех уязвимых библиотек до безопасных версий.
Минусы: Высокий риск сломать сборку проекта из-за перехода electron с версии 31 на 42 и vite с 5 на 8.
Вариант Б. Поэтапное обновление вручную (Рекомендуемый)
Обновить сначала @electron/rebuild и проверить сборку:
После этого запустить dev-сервер (npm run dev) и исправить возможные несовместимости в конфигурации electron.vite.config.ts.
В последнюю очередь обновить Electron:
npm install --save-dev electron@latest
Протестировать функционал межпроцессного взаимодействия (IPC) и интеграцию с нативными модулями (такими как node-pty), так как в новых версиях Electron правила безопасности по умолчанию более строгие.
В общем, как минимум я сам будут пробовать собирать проект исключительно с актуальными версиями библиотек. Если всё собирётся сделаю пулреквест.
Доброго времени суток. Благодарю за отличный проект. У меня как раз в планах было сделать примерно тоже самое, но вы меня опередили.
После скачивания я чекнул его при помощи
npm auditоказалось, что у вас в конфиге проекта прописаны очень старые версии npm-библиотек, содержащие CVE (публично известные уязвимости).Может быть это потому, что:
В принципе, как минимум я сам буду пробовать собирать проект исключительно с актуальными версиями библиотек. Если всё собирётся, могу сделать пулреквест.
Полный теминальный выхлоп команды npm audit (кликнете сюда, чтобы открыть/свернуть)
Отчёт по результатам проверки безопасности (npm audit) — Проект
kadrДата проверки: 16 июня 2026 г.
Проверяемый проект:
kadr(GPU-ускоренный многодорожечный видеоредактор с интеграцией ИИ)Инструмент:
npm auditПримечания: критично выглядит: Cross-origin development server bypass: Любой веб-сайт может отправлять запросы на локальный dev-сервер esbuild и читать ответы (GHSA-67mh-4wv8-2f99): esbuild устанавливает заголовок Access-Control-Allow-Origin: для всех запросов, включая соединение SSE, что позволяет любым веб-сайтам отправлять любые запросы на сервер разработки и считывать ответы. Злоумышленник создаёт вредоносный сайт например malicious.example.com . Пользователь заходит на вредоносную веб-страницу. Злоумышленник отправляет запрос fetch('http://127.0.0.1:8000/main.js') с помощью JavaScript на этой вредоносной веб-странице. Этот запрос обычно блокируется политикой одного источника, но в данном случае это не так по указанным выше причинам. Злоумышленник получает содержимое файла http://127.0.0.1:8000/main.js.
Более серьёзный риск в Kadr: Vite
У Vite похожая CORS-проблема (GHSA-vg6x-rcgg-rjx6 (GHSA-vg6x-rcgg-rjx6)): внешний сайт мог читать ответы dev-сервера Vite. Патч: Vite ≥ 5.4.12. В Kadr: vite@5.4.8 — потенциально уязвима.
Плюс в electron/fragments.ts для Remotion:
server: { host: '127.0.0.1', fs: { allow: ['/'] } }
fs.allow: ['/'] разрешает Vite отдавать файлы с любого пути на диске (через механизм @fs/). Если к этому серверу на 127.0.0.1:5621 применим CORS-bypass, вредоносный сайт теоретически может читать не только исходный код Kadr'а, который и так уже лежит на GitHub или файлы проекта но и, например ~/.ssh/id_rsa, криптокошельки, личные документы. Это уже серьёзно. Поэтому перед использованием все устаревшие библиотеки надо обновить.
Минимально необходимые меры предосторожности (до обновления всех npm-библиотек, под которые код проекта возможно придётся адаптировать):
📊 Полная сводка результатов
🔍 Детальный анализ уязвимостей
1. Electron (
electron)^31.7.7executeJavaScript(GHSA-xj5x-m3f3-5x3h).electron@42.4.0(мажорный апгрейд, несущий в себе ломающие изменения/breaking changes).2. Esbuild (
esbuild), Vite (vite), Electron-Vite (electron-vite)vite^5.4.8,electron-vite^2.3.0vite@8.0.16(мажорное обновление, содержащее breaking changes).3. Tar (
tar), @electron/rebuild (@electron/rebuild)@electron/rebuild^3.7.2@electron/rebuild@4.0.4(breaking change).🛠️ Варианты устранения
Warning
Все исправления для найденных уязвимостей требуют обновления до мажорных версий ключевых зависимостей (
electron,vite,esbuild,@electron/rebuild). Это может привести к поломке API, несовместимости с текущим кодом проекта и потребовать адаптации исходного кода приложения.Вариант А. Автоматическое форсированное обновление
Запуск команды:
electronс версии 31 на 42 иviteс 5 на 8.Вариант Б. Поэтапное обновление вручную (Рекомендуемый)
@electron/rebuildи проверить сборку:electron-vite:npm run dev) и исправить возможные несовместимости в конфигурацииelectron.vite.config.ts.node-pty), так как в новых версиях Electron правила безопасности по умолчанию более строгие.В общем, как минимум я сам будут пробовать собирать проект исключительно с актуальными версиями библиотек. Если всё собирётся сделаю пулреквест.