ktlint-cli 1.5.0 发现 4 个漏洞，最高严重性达 7.3 分，影响 MendPerformance/billing-api-18523 项目

在 MendPerformance 的 billing-api-18523 项目中，一个关键的代码格式化工具被曝存在严重安全漏洞。项目依赖的 `ktlint-cli-1.5.0.jar` 文件中发现了四个漏洞，其中最高严重性评分为 7.3 分（CVSS 评分），被标记为“高危”。这些漏洞已存在于项目的最新提交（c6e16a608ee1e1aaef94545880afff1052f0bdc1）中，直接暴露了该计费 API 项目的供应链安全风险。

具体而言，编号为 CVE-2024-12798 的高危漏洞影响多个依赖项，属于传递性依赖漏洞。这意味着漏洞并非直接来自 ktlint-cli 本身，而是通过其引入的第三方库链式传播，使得识别和修复更为复杂。根据漏洞数据库信息，该漏洞的修复版本为 ktlint-cli 1.6.0，但当前报告显示“修复不可行”，这为项目维护者带来了直接的升级障碍和安全压力。

此事件凸显了开源工具链在软件开发中的潜在风险。ktlint 作为 Kotlin 代码的流行格式化工具，被广泛集成于 CI/CD 流程中。其安全漏洞可能成为攻击者渗透构建管道、进而影响最终应用（如计费系统）的入口点。对于 MendPerformance 这类涉及金融交易数据的项目，依赖项中的未修复高危漏洞构成了切实的安全威胁，可能引发对代码完整性、供应链攻击和数据泄露的进一步审查。