문제
@naverpay/prometheus-core(및 이를 의존하는 @naverpay/prometheus-next)의 peerDependencies.pm2가 >=5.3.0 <6.0.0으로 고정되어 있습니다.
pm2에 ReDoS 취약점이 보고되었는데(GHSA-x5gf-qvw8-r2rm / CVE-2025-5891, severity Low, CVSS 4.3), 이 취약점의 패치 버전은 7.0.0뿐입니다 (vulnerable range: < 7.0.0).
현재 peer 상한(<6.0.0) 때문에, 이 패키지를 사용하는 프로젝트는 pm2를 패치 버전(7.0.0)으로 올릴 수 없습니다. 결과적으로 의존성 보안 스캐너에서 pm2 취약점이 계속 검출되며, pnpm overrides 등으로 강제 상향하면 peer 경고와 함께 메트릭 수집 API의 런타임 호환성 리스크가 생깁니다.
재현 / 확인
영향
- pm2 peer를 가진 모든 consumer가 pm2 ReDoS(GHSA-x5gf-qvw8-r2rm)를 의존성 차원에서 해소할 수 없음
- pm2는
require('pm2')로 쓰이는 비-optional peer라 트리에서 제외도 불가
요청 (택1 검토 부탁드립니다)
- peer 범위 확장:
>=5.3.0 <6.0.0 → pm2 7까지 허용 (예: >=5.3.0, 상한 제거 또는 <8.0.0) + pm2 7 호환성 검증
- optional peer 전환: cluster 메트릭이 선택 기능이라면
peerDependenciesMeta.pm2.optional = true
- pm2 7 대응: pm2 5.x→7.x 메이저 API 변화에 맞춘 core 업데이트
pm2 5→7은 메이저 변경이라 단순 범위 완화만으로 동작이 보장되지 않을 수 있어, 호환성 확인이 함께 필요할 것으로 보입니다.
참고
문제
@naverpay/prometheus-core(및 이를 의존하는@naverpay/prometheus-next)의peerDependencies.pm2가>=5.3.0 <6.0.0으로 고정되어 있습니다.pm2에 ReDoS 취약점이 보고되었는데(GHSA-x5gf-qvw8-r2rm / CVE-2025-5891, severity Low, CVSS 4.3), 이 취약점의 패치 버전은
7.0.0뿐입니다 (vulnerable range:< 7.0.0).현재 peer 상한(
<6.0.0) 때문에, 이 패키지를 사용하는 프로젝트는 pm2를 패치 버전(7.0.0)으로 올릴 수 없습니다. 결과적으로 의존성 보안 스캐너에서 pm2 취약점이 계속 검출되며,pnpm overrides등으로 강제 상향하면 peer 경고와 함께 메트릭 수집 API의 런타임 호환성 리스크가 생깁니다.재현 / 확인
@naverpay/prometheus-core@2.1.0→peerDependencies.pm2: ">=5.3.0 <6.0.0"first_patched_version: 7.0.0,vulnerable: < 7.0.0)영향
require('pm2')로 쓰이는 비-optional peer라 트리에서 제외도 불가요청 (택1 검토 부탁드립니다)
>=5.3.0 <6.0.0→ pm2 7까지 허용 (예:>=5.3.0, 상한 제거 또는<8.0.0) + pm2 7 호환성 검증peerDependenciesMeta.pm2.optional = truepm2 5→7은 메이저 변경이라 단순 범위 완화만으로 동작이 보장되지 않을 수 있어, 호환성 확인이 함께 필요할 것으로 보입니다.
참고