Lodash 安全更新：CVE-2026-2950 原型污染漏洞影响 _.unset 与 _.omit 函数

广泛使用的 JavaScript 工具库 Lodash 发布关键安全更新，修复一个编号为 CVE-2026-2950 的原型污染漏洞。该漏洞影响 4.17.23 及更早版本，存在于 `_.unset` 和 `_.omit` 函数中。攻击者可利用此漏洞，通过精心构造的输入绕过此前针对 CVE-2025-13465 的修复措施，从而污染对象原型链，可能导致应用程序崩溃、数据篡改或远程代码执行等严重后果。

此次更新将 Lodash 从 4.17.23 版本升级至 4.18.1 版本。自动化依赖管理工具 Renovate 已为此生成更新拉取请求。值得注意的是，此漏洞是此前已修复的 CVE-2025-13465 的绕过。当时的修复仅针对字符串键成员提供了防护，而新发现的攻击向量暴露了更深层次的防御缺口，使得攻击者能够再次利用原型污染机制。

鉴于 Lodash 在全球数百万 Node.js 和前端项目中的基础性地位，此漏洞影响范围极广。所有使用受影响版本的项目应立即评估并应用此安全补丁。对于依赖自动化更新的团队，需确保配置能够及时接收此类安全修复。此事件再次凸显了在复杂软件供应链中，对基础依赖库进行持续安全监控和快速响应的必要性，一次修复可能无法彻底根除同一类安全风险。