concurrently 5.3.0 依赖 lodash 曝出 4 个高危漏洞，最高 CVSS 评分 8.1

流行的 Node.js 进程管理工具 `concurrently` 的 5.3.0 版本被发现包含四个安全漏洞，其中最高严重性评分为 8.1（高危）。这些漏洞并非直接存在于 `concurrently` 本身，而是源于其传递依赖项 `lodash` 的 4.17.21 版本。这意味着任何在其项目中安装并使用 `[email protected]` 的开发者，都会在不知情的情况下引入一个带有已知高危漏洞的 `lodash` 库。

漏洞详情显示，最严重的漏洞被标记为 CVE-2026-4800，CVSS 评分为 8.1。报告明确指出，这些漏洞的修复无法通过升级 `concurrently` 的版本来实现（表格中“Fixed in”一栏标注为“N/A”），并且“修复可能性”被标记为不可行。这表明问题根植于该特定 `concurrently` 版本所锁定的 `lodash` 依赖树中，对下游用户构成了直接的供应链安全风险。

对于依赖 `concurrently` 进行开发脚本或进程管理的项目而言，这是一个严重的供应链威胁。开发团队需要立即审查其 `node_modules` 中引入的 `lodash` 版本。由于修复无法通过简单的包管理器更新完成，缓解措施可能包括：锁定更安全的 `lodash` 版本、寻找 `concurrently` 的替代品，或者接受该漏洞风险。此事件凸显了开源软件供应链中，一个广泛使用的工具如何因其深层、间接的依赖关系而成为整个生态系统的安全薄弱环节。