Lodash 安全更新：CVE-2026-2950 原型污染漏洞影响 _.unset 和 _.omit 函数

JavaScript 工具库 Lodash 发布关键安全更新，修复一个编号为 CVE-2026-2950 的原型污染漏洞。该漏洞影响 4.17.23 及更早版本，存在于 `_.unset` 和 `_.omit` 两个常用函数中。攻击者可能利用此漏洞，通过操纵对象原型来修改应用程序行为，从而可能导致拒绝服务、数据篡改或远程代码执行等后果。此次更新至版本 4.18.1 旨在修补这一安全缺陷。

值得注意的是，此次修复的漏洞是此前 CVE-2025-13465 补丁的绕过。之前的修复仅针对字符串键成员提供了防护，而新发现的攻击向量可以规避这些防护措施，使得 `_.unset` 和 `_.omit` 函数在特定条件下仍然存在被污染的风险。这表明针对原型污染这类复杂漏洞的防御需要持续和深入的审查。

对于全球数百万依赖 Lodash 的 Node.js 和前端项目而言，这是一个需要立即关注的安全事件。开发团队应尽快将依赖升级至 4.18.1 或更高版本。未能及时更新的项目可能面临被利用的风险，尤其是在处理不可信用户输入的场景下。此事件也再次凸显了供应链安全中，对广泛使用的底层库进行持续漏洞监控和及时更新的重要性。