sw-precache-webpack-plugin 0.11.5 发现 23 个漏洞，最高严重性达 9.8 分 [可被利用]

一个关键的 Webpack 插件被发现存在严重的安全漏洞。在 `sw-precache-webpack-plugin-0.11.5.tgz` 中，安全扫描揭示了 23 个漏洞，其中最高严重性评分为 9.8 分（CVSS v3），且部分漏洞被标记为“可被利用”。该插件用于在 Webpack 构建流程中集成 Service Worker，其依赖链中的缺陷直接暴露了使用它的应用程序。

漏洞详情显示，问题主要存在于传递依赖项中。例如，`minimist-1.2.0.tgz` 存在一个评分为 9.8 的严重漏洞（CVE-2021-44906），而 `lodash.template-4.4.0.tgz` 则存在另一个评分为 9.1 的严重漏洞（CVE-2019-10744）。这些漏洞的“可利用性成熟度”虽未定义，但“可被利用”的标记表明攻击路径是存在的。目前，对于这些特定的旧版本依赖，尚无官方修复版本可用，修复状态显示为不可用。

对于依赖此插件进行前端构建和离线功能开发的团队而言，这是一个直接的安全风险。该插件通常被集成到生产环境的构建流程中，意味着这些漏洞可能被链式利用，影响最终交付给用户的 Web 应用。开发者和安全团队需要立即评估其项目中的 `sw-precache-webpack-plugin` 版本，并考虑升级、替换或实施其他缓解措施，以防止潜在的供应链攻击。