styled-components 4.2.1 依赖 lodash 包含多个高危漏洞，安全扫描标记为“不可达”

流行的 React 样式库 styled-components 的一个旧版本（4.2.1）被发现依赖一个包含多个高危安全漏洞的 lodash 版本。安全扫描报告显示，该依赖项中至少存在四个漏洞，其中最高严重性评分为 7.4（高危）。值得注意的是，尽管漏洞严重，但自动化工具将其标记为“不可达”，这可能意味着漏洞代码路径在特定应用上下文中未被直接调用，但这绝不等于风险不存在。

具体漏洞涉及 lodash 版本 4.17.11。其中两个被明确标识：CVE-2020-8203（CVSS 7.4）和 CVE-2021-23337（CVSS 7.2）。后者已有概念验证（Proof of concept）利用代码存在。这些漏洞通常涉及原型污染（Prototype Pollution）等攻击向量，可能允许攻击者修改对象原型，导致拒绝服务、绕过安全控制或在特定条件下执行任意代码。修复版本已发布（lodash 4.17.19 及以上），但 styled-components 4.2.1 的依赖链将其锁定在易受攻击的版本。

这种情况凸显了现代软件开发中深层依赖链的隐蔽风险。一个广泛使用的上层库（styled-components）因其过时的、间接的依赖项而成为潜在的攻击面。虽然“不可达”的评估可能暂时降低了紧急程度，但它为依赖该库旧版本的项目留下了安全隐患。对于维护者而言，这构成了技术债务和安全债务；对于使用方，则需要进行依赖审查，评估是否受此传递性漏洞影响，并规划升级路径至 styled-components 和 lodash 的安全版本。