Express.js 4.13.4 依赖链曝出 5 个高危漏洞，最高 CVSS 7.5 分，无官方修复方案

一个近十年前发布的 Express.js 4.13.4 版本，其深层依赖链中潜伏着五个未修复的高危安全漏洞，每个漏洞的 CVSS 评分均高达 7.5 分。这些漏洞并非存在于 Express 核心代码中，而是来自其传递依赖项，包括 `negotiator`、`fresh` 和 `path-to-regexp` 等关键中间件库。安全扫描报告显示，所有漏洞的“修复版本”一栏均为“N/A”，且“可用修复”状态为“❌”，这意味着官方并未提供直接的升级补丁。

这些漏洞的 CVE 编号横跨 2016 年至 2024 年，其中最古老的 CVE-2016-10539 已存在近八年，而最新的 CVE-2024-52798 于去年披露。尽管漏洞的利用成熟度被标记为“未定义”，且 EPSS（漏洞利用预测评分系统）概率均低于 1%，但 7.5 的高危评分本身构成了明确的威胁信号。问题核心在于，这些陈旧的、已停止维护的传递依赖库被锁定在一个广泛使用的 Web 框架的特定历史版本中，形成了难以根除的安全债务。

对于仍在使用此版本 Express 或基于其构建的遗留系统的开发团队和组织而言，这构成了持续的安全风险。由于没有官方的上游修复，缓解措施可能极为复杂，需要手动更新或替换这些依赖项，甚至可能涉及对 Express 框架版本的整体升级，这无疑会带来巨大的兼容性挑战和潜在的业务中断风险。此事件凸显了在快速演进的 Node.js 生态中，长期维护老旧软件包及其依赖关系所面临的严峻安全困境。