browserify-preprocessor 1.1.2 曝 68 项漏洞，含 CVSS 10.0 分高危缺陷

Cypress 测试框架的关键依赖 `browserify-preprocessor` 版本 1.1.2 被曝存在 68 个安全漏洞，其中最高严重性等级为 CVSS 10.0 分的满分高危缺陷。该预处理器用于通过 Browserify 打包 JavaScript，其漏洞风险已通过自动化安全扫描工具 Mend 被识别并标记为“可被利用”。这一发现直接暴露了依赖该库的软件供应链的严重安全隐患。

扫描报告显示，在已列出的 23 项发现中，包含一个 CVSS 评分 10.0 的“严重”级别漏洞 CVE-2025-6545，影响传递性依赖 `pbkdf2-3.0.17.tgz`。尽管该特定漏洞的利用成熟度“未定义”且 EPSS 评分低于 1%，但其满分 CVSS 评分意味着理论上存在最高级别的安全风险。报告指出，由于 GitHub 的内容大小限制，仅显示了部分结果，更多漏洞详情需在 Mend 应用中查看，这暗示了问题的实际规模可能更大。

此次漏洞曝光将 `browserify-preprocessor` 及其上游依赖 `pbkdf2` 置于严格的安全审查之下。对于使用该预处理器进行前端构建和测试的开发者与项目而言，这意味着其应用可能面临潜在的代码注入或数据泄露风险。虽然部分漏洞的修复版本“不可用”，但安全团队必须立即评估其项目依赖树，并考虑替代方案或实施缓解措施，以防止整个开发工具链成为攻击入口。