oauthio-0.3.5.tgz 包含 8 个漏洞，最高严重性达 9.8 分，且无法修复

一个被广泛使用的 OAuth 集成库 `oauthio-0.3.5.tgz` 被曝存在 8 个安全漏洞，其中最高严重性评分为 9.8 分（CRITICAL）。更关键的是，这些漏洞被标记为“不可达”（unreachable），意味着它们存在于项目的传递依赖中，无法通过直接升级主库来修复。这为依赖该库的应用程序留下了一个难以修补的严重攻击面。

漏洞详情显示，最严重的漏洞是 CVE-2021-3918，CVSS 评分为 9.8 分，影响传递依赖 `json-schema-0.2.3.tgz`。该漏洞的利用成熟度虽未定义，但 EPSS 评分为 1.3%，表明存在被利用的可能性。报告明确指出，对于此漏洞，修复方案为“N/A”（不适用），且“修复可能”一栏显示为否定。这意味着依赖 `oauthio` 的项目，其安全风险被锁定在一个过时且不安全的底层依赖链中。

这种情况对使用该库的开发者构成了直接且紧迫的安全压力。由于漏洞位于传递依赖中，项目维护者无法通过简单的版本升级来消除风险。这迫使开发团队必须在继续使用一个带有已知高危漏洞的库、投入资源进行深度代码审计和手动修复、或寻找替代方案之间做出艰难选择。对于任何在生产环境中使用此版本 `oauthio` 的服务，这都代表着一个需要立即评估和响应的供应链安全事件。