Vue-i18n 9.2.2 曝出 2 个高危漏洞，最高 CVSS 8.2 分，攻击路径可达

Vue.js 生态核心国际化插件 `vue-i18n` 的 9.2.2 版本被确认存在两个高危安全漏洞，其中最高严重性评分为 CVSS 8.2 分，且攻击路径被标记为“可达”。这意味着依赖此版本的应用程序面临被远程利用的现实风险。该漏洞直接影响使用 `/src/Administration/Resources/app/administration/package.json` 路径下依赖包的项目，暴露了前端应用供应链中的关键弱点。

具体漏洞为 CVE-2025-27597。该漏洞的细节已由安全厂商 Mend（前身为 WhiteSource）收录并公开。报告明确指出，漏洞存在于 `vue-i18n-9.2.2.tgz` 这个特定的 npm 包中。作为 Vue.js 框架广泛使用的国际化工具，`vue-i18n` 的漏洞影响范围可能波及大量基于 Vue 构建的企业级管理后台和 Web 应用。安全扫描已在其依赖文件中定位到该易受攻击的库。

此次事件凸显了开源软件供应链安全的持续压力。对于开发团队而言，首要任务是立即检查项目依赖，将 `vue-i18n` 升级至已修复漏洞的版本。报告中的“可达性”评估增加了问题的紧迫性，表明攻击者有可能利用此漏洞发起实际攻击。这为所有使用该版本插件的组织敲响了警钟，需尽快采取修复措施，以避免潜在的数据泄露或系统入侵风险。