picomatch 4.0.0–4.0.3 高危漏洞：ReDoS 攻击与方法注入风险 (CVSS 7.5)

广泛使用的 JavaScript 通配符匹配库 `picomatch` 曝出高危安全漏洞，影响版本 4.0.0 至 4.0.3。该漏洞被评定为 CVSS 7.5 的高危级别，攻击者可利用其发起正则表达式拒绝服务（ReDoS）攻击，导致应用性能急剧下降甚至服务中断。`picomatch` 作为众多流行工具（如 Webpack、Gulp）的传递依赖，其潜在影响范围巨大，任何未及时更新的项目都可能面临服务瘫痪的风险。

漏洞详情指向两个核心问题。第一个是编号为 GHSA-c2c7-rcm5-vvqj 的 ReDoS 漏洞，源于 `extglob` 量词处理不当，攻击者通过构造恶意的通配符模式，可触发正则表达式引擎的灾难性回溯，从而耗尽服务器资源。第二个是编号为 GHSA-3v7f-55p6-f55p 的方法注入漏洞（CVSS 5.3），存在于 POSIX 字符类解析过程中，可能导致对象原型属性被不当修改。这两个漏洞共同构成了对依赖该库的 Node.js 生态系统的严重威胁。

维护者已发布修复版本 `[email protected]`。对于开发者和安全团队而言，当前的首要任务是立即扫描项目依赖树，识别并升级所有受影响的 `picomatch` 实例。鉴于该库的深度集成性，漏洞的隐蔽性较高，手动排查可能遗漏。建议使用自动化依赖扫描工具进行全面审计，并密切关注上游依赖链的更新状态，以防止供应链攻击。此次事件再次凸显了开源软件供应链中，一个广泛使用的底层库出现漏洞时可能引发的连锁反应。