Lodash 安全更新：CVE-2026-2950 原型污染漏洞影响 _.unset 与 _.omit 函数

Lodash 库发布关键安全更新，修复编号为 CVE-2026-2950 的原型污染漏洞。该漏洞影响 4.17.23 及更早版本，存在于 `_.unset` 和 `_.omit` 函数中，攻击者可利用此漏洞绕过此前针对 CVE-2025-13465 的修复措施。此次更新将依赖版本从 4.17.23 升级至 4.18.1，旨在修补这一安全缺陷。

漏洞的根本原因在于，先前针对 CVE-2025-13465 的修复仅防护了字符串键成员，留下了可被利用的旁路。这意味着，在特定条件下，攻击者可能通过操纵对象原型链，向应用程序注入恶意属性或修改现有行为，从而可能导致远程代码执行、数据篡改或拒绝服务等后果。Lodash 作为 JavaScript 生态系统中使用最广泛的实用工具库之一，其安全漏洞影响范围极广。

此次更新对所有依赖 Lodash 的项目构成了直接且紧迫的安全压力。开发团队必须立即审查其依赖项，并应用此补丁。鉴于该漏洞是对先前已修复漏洞的绕过，它突显了安全修复的复杂性和持续性风险。未能及时升级的项目将面临被利用的风险，尤其是在处理不受信任用户输入的场景中。这起事件再次警示，对广泛使用的核心开源库的安全维护，是软件供应链安全中不可忽视的一环。