npm 'brace-expansion' 库曝出 ReDoS 漏洞，影响主流开发工具链

一份最新的安全审计报告揭示，JavaScript 生态中一个广泛使用的底层库 `brace-expansion` 存在资源耗尽漏洞（ReDoS），可能引发进程挂起和内存耗尽，导致拒绝服务（DoS）。该漏洞被评定为中等严重性，CVSS 评分为 6.5，影响版本为 `<1.1.13` 或 `>=2.0.0 <2.0.3`。尽管未发现严重或高危漏洞，但此问题因其在工具链中的深度渗透而值得警惕。

该漏洞的核心在于 `brace-expansion` 库中一个零步序列的处理缺陷。值得注意的是，受影响的 `brace-expansion` 包作为传递性开发依赖，潜藏于多个主流开发工具的依赖树中，包括 `@eslint/config-array`、`@eslint/eslintrc`、`@vue/language-core` 以及 `eslint` 本身。这意味着大量使用这些工具进行 JavaScript 和 Vue.js 项目开发的团队，其构建或代码检查流程可能面临意外中断的风险。目前，官方已发布修复版本。

此次发现凸显了现代软件供应链中，一个看似微小的底层依赖可能产生的连锁风险。虽然漏洞本身不涉及远程代码执行或数据泄露，但其导致的进程挂起足以破坏开发环境的稳定性与自动化流程。开发团队需尽快检查项目依赖，将 `brace-expansion` 升级至安全版本（1.1.13 或 2.0.3 及以上）。报告同时指出，针对项目 PHP 依赖的 `composer audit` 扫描因缺少 `phar` 扩展而失败，这暴露了安全审计流程中可能存在的覆盖盲区。