casual-1.6.2.tgz 依赖 moment 库存在两个高危漏洞 (CVSS 7.5)

在 casual-1.6.2.tgz 这个用于生成假数据的 npm 包中，其直接依赖的 moment-2.24.0.tgz 库被检出两个高危安全漏洞，CVSS 评分均为 7.5。这两个漏洞的利用成熟度均未定义，但 EPSS 评分显示其被利用的可能性分别为 2.3% 和 3.4%。尽管漏洞评级为高危，但当前分析标记其代码路径为“不可达”，这可能意味着受影响的函数在特定应用上下文中未被调用，暂时降低了直接被利用的风险。

这两个漏洞的标识分别为 CVE-2022-24785 和 CVE-2022-31129，均存在于 moment 这个广泛使用的 JavaScript 日期处理库的 2.24.0 版本中。官方已在 moment 的 2.29.2 及 2.29.4 版本中修复了这些漏洞，并且修复版本已可用。问题根源在于 casual 包的 /api/package.json 文件所定义的依赖关系，锁定了这个存在漏洞的旧版本 moment。

对于使用 casual 库作为依赖的开发者而言，虽然“不可达”状态提供了一定缓冲，但这并不等同于安全。项目安全状况高度依赖于具体的代码执行路径。最根本的修复方案是升级 casual 的依赖项至已修复的 moment 版本（>=2.29.2）。开发者应审查其项目依赖树，评估 moment 库在其应用中的实际调用情况，并优先通过更新依赖或实施其他缓解措施来消除这一潜在的安全债务，避免因依赖链漏洞导致的应用风险。