Axios 1.8.2 爆出 9.9 分高危漏洞，关键 HTTP 库面临供应链攻击风险

一个广泛使用的 JavaScript HTTP 客户端库 Axios 被曝存在严重安全漏洞，其 1.8.2 版本中一个直接依赖漏洞的 CVSS 评分高达 9.9 分，属于最高级别的严重风险。该漏洞目前尚无官方修复补丁，意味着全球数百万依赖此库的 Node.js 和前端项目正暴露在潜在的供应链攻击之下。安全扫描报告显示，该漏洞的修复状态为“不可用”，且其“可及性”路径直接指向核心库，使得攻击者可能更容易利用。

此次安全警报源于对 `axios-1.8.2.tgz` 包的自动化扫描。除了这个评分为 9.9 的严重漏洞（CVE-2025-62718），扫描还发现了另外四个高危漏洞，包括一个评分为 8.7 的漏洞（CVE-2025-7783）存在于其传递依赖 `form-data-4.0.0.tgz` 中。这些漏洞均被标记为“未定义”利用成熟度，但极高的基础评分表明其潜在危害巨大。报告明确指出，所有已发现的漏洞目前均“无可用修复方案”，这为依赖该库的开发和运维团队带来了迫在眉睫的缓解压力。

Axios 作为现代 Web 开发中处理 HTTP 请求的事实标准库，其安全性牵一发而动全身。此次集中爆出的未修复高危漏洞，不仅对直接使用该版本的项目构成直接威胁，更可能通过庞大的开源软件供应链层层传递，影响下游无数应用和服务。开发团队目前面临两难选择：要么承担未知的安全风险继续运行，要么寻求可能破坏现有功能的临时替代方案或降级措施。这一事件再次凸显了开源软件依赖管理的脆弱性和对关键基础设施组件进行持续安全审计的必要性。