terser-webpack-plugin 4.2.3 曝 14 项漏洞，最高严重性达 8.8，可被利用

一个广泛使用的 JavaScript 构建工具链组件被曝存在严重安全漏洞。根据 GitHub 依赖项扫描报告，`terser-webpack-plugin` 的 4.2.3 版本包含 14 个已识别的漏洞，其中最高严重性评分为 8.8（CVSS 评分），且被标记为“可被利用”。该插件是 webpack 生态中的关键依赖，用于压缩和混淆前端代码，其漏洞可能影响大量依赖此工具链的现代 Web 应用项目。

报告显示，漏洞存在于多个依赖路径中，包括 `/achilles-frontend/package.json` 和 `/baak-vizualization/package.json`。其中一项高严重性漏洞（CVE-2026-27904，CVSS 7.5）源于传递性依赖 `[email protected]`。该漏洞类型为“传递性依赖”漏洞，意味着风险可能通过依赖树间接引入，增加了识别和修复的复杂性。报告明确指出，修复方案存在于 `terser-webpack-plugin` 的 5.0.0 及更高版本中，且修复是可行的。

这一发现对依赖该插件进行前端构建的开发和运维团队构成了直接的安全压力。由于 webpack 是现代前端开发的事实标准，其插件生态的安全性直接影响成千上万个项目的供应链安全。可被利用的高危漏洞意味着攻击者可能通过构建流程或最终交付的代码发起攻击。开发团队需要立即审查其项目依赖，评估升级到安全版本（5.0.0+）的可行性，并监控其他可能受影响的传递性依赖，以防止潜在的供应链攻击风险。