fix(deps): 补回丢失的 pnpm overrides 安全修复

[m1ngsama]

背景

PR #135 squash 合并时，pnpm.overrides 块在合并提交阶段被 lint-staged 钩子意外回退，导致真正的安全补丁没有落到 main（#135 实际只保留了 Dependabot 已有的 vite ^8.0.16）。本 PR 用普通提交重新补回。

改动

• mermaid 显式声明 ^11.15.0 + 作用域 override 强制插件 peer 一并升级
• pnpm.overrides 锁定同 major 传递补丁：lodash 4.18.1 · js-yaml 4.2.0 · markdown-it 14.2.0 · yaml 2.8.3 · picomatch 4.0.4 · ajv 6.14.0 · flatted 3.4.2 · minimatch 3.1.4/9.0.7 · brace-expansion 1.1.13/2.0.3

效果

pnpm audit：34 → 7。剩余 7 项为 vitepress 1.6.4 传递的 vite 5.x / esbuild，均 dev-server-only，需 vitepress 2.0（alpha）才能根治。

验证

• ✅ pnpm docs:build 成功
• ✅ pnpm test 26/26

[cloudflare-workers-and-pages]

Deploying documents with    Cloudflare Pages

Latest commit:	07e08ae
Status:	✅  Deploy successful!
Preview URL:	https://aaa4d271.documents-dq4.pages.dev
Branch Preview URL:	https://fix-security-overrides-redo.documents-dq4.pages.dev

View logs