Kibana 2 项目依赖 yaml 2.5.1 存在可被利用的 CVE-2026-33532 漏洞

在 amaybaum-prod 维护的 Kibana 2 项目代码库中，一个关键依赖项被标记为存在可被利用的安全漏洞。项目当前使用的 `yaml-2.5.1.tgz` 库包含一个编号为 CVE-2026-33532 的漏洞，其 CVSS 评分为 4.3（中等严重性）。该漏洞被安全扫描工具明确标记为“可被利用”，意味着攻击者有可能通过特定的代码路径触发此漏洞。该依赖项通过项目的 `/package.json` 文件引入，并存在于最新的代码提交（dd41e44）中，表明这是一个活跃的、未修复的风险点。

此漏洞直接影响 JavaScript 生态中广泛使用的 YAML 解析与序列化库 `yaml`。虽然 4.3 的评分属于中等风险，但“可被利用”的标签显著提升了其实际威胁级别。该库是 Kibana 这类数据可视化与搜索平台的基础依赖之一，用于处理配置文件和数据序列化。漏洞的存在意味着，如果攻击者能够控制输入到该库的特定数据流，就可能引发拒绝服务或潜在的数据处理异常。

对于依赖 Kibana 2 分支或其代码库的下游用户和开发者而言，这是一个需要立即评估的供应链风险。尽管有修复版本可用（通常在更高版本的 `yaml` 库中），但项目当前仍锁定在易受攻击的 2.5.1 版本。这迫使开发团队必须在升级依赖以修复安全漏洞与维持现有代码稳定性之间做出权衡。在漏洞被修复或依赖项升级之前，使用该代码库构建的任何应用都可能暴露在相关的攻击面之下。