Express.js 4.17.1 依赖包曝出 12 项漏洞，最高严重性达 7.5 分

一个广泛使用的 Node.js 网络框架的核心依赖包中，潜伏着 12 个未修复的安全漏洞，其中两项被标记为高危。这份来自 GitHub 依赖项扫描的报告显示，`express-4.17.1.tgz` 及其传递依赖中，存在多个 CVSS 评分高达 7.5 的漏洞，包括 CVE-2022-24999 (qs 库) 和 CVE-2024-45296 (path-to-regexp 库)。尽管扫描工具将这些漏洞标记为“不可达”，但这并不意味着风险为零，而是表明攻击路径在当前代码库中未被直接利用。然而，这些已知漏洞缺乏官方修复版本，且其“利用成熟度”尚未定义，为依赖此旧版本 Express 的应用程序留下了潜在的攻击面。

问题根植于 Express 4.17.1 版本所捆绑的过时依赖项。报告明确指出，关键漏洞存在于 `qs-6.7.0.tgz` 和 `path-to-regexp-0.1.7.tgz` 这两个传递依赖包中。这两个库分别用于解析查询字符串和将路径字符串转换为正则表达式，是 Express 路由和中间件功能的基础组件。扫描结果显示，对于所有列出的高危漏洞，目前均“无可用修复方案”，且固定版本为“N/A”。这种状态将修复责任完全推给了应用程序的维护者，迫使他们要么升级整个 Express 主版本，要么寻找其他缓解措施。

对于仍在使用 Express 4.x 旧版本维护遗留系统的开发团队而言，这份报告构成了直接压力。虽然“不可达”的评估可能暂时降低了紧急程度，但依赖链中嵌入了未修补的高危漏洞，始终是一个需要监控的供应链风险。在软件物料清单（SBOM）和供应链安全审查日益严格的背景下，此类报告会触发内部安全团队的强制审查。项目维护者面临的选择是：承受技术债务和潜在风险继续运行，或启动可能涉及重大重构的框架升级。