axios-0.21.4.tgz 发现 6 个可被利用漏洞，最高严重性达 7.5

在 DimaMend/V-Achilles 项目的代码库中，一个广泛使用的 HTTP 客户端库 axios 的过时版本被标记为存在严重安全风险。自动化安全扫描在提交 `11d21c5fccd238699f5c2bd3370cb76b77ce750a` 中检测到 `axios-0.21.4.tgz` 包含六个已知漏洞，其中最高严重性评分为 7.5（CVSS 评分）。关键点在于，这些漏洞被标记为“可被利用”，意味着攻击路径在项目的 `/baak-dataload-sql/package.json` 和 `/achilles-frontend/package.json` 依赖文件中是可达的，显著增加了实际被攻击的风险。

该漏洞影响的是一个核心网络通信库，被用于浏览器和 Node.js 环境。问题版本 0.21.4 在多个项目文件中被锁定，表明依赖管理可能存在疏忽。安全报告详细列出了每个漏洞的严重性、CVSS 评分和可利用性成熟度，指向了需要立即关注的已知安全问题。虽然报告未指明具体攻击场景，但“可被利用”和“可达”的标签意味着恶意行为者有可能通过这些漏洞入侵依赖该库的应用程序。

对于使用该代码库的项目团队而言，这构成了直接的操作安全压力。未修复的漏洞可能成为供应链攻击的入口点，危及应用程序的数据完整性和安全性。报告暗示了修复的可能性，指向了更高版本的 axios，但当前状态的持续存在暴露了开发工作流中安全审查或依赖更新流程的潜在缺口。这种情况凸显了在快速迭代的软件开发中，维护第三方依赖安全性的持续挑战。