NPOI 2.8.0 依赖链引入已知安全漏洞，开发者请求紧急更新

一个已知的低严重性安全漏洞正通过 NPOI 2.8.0 的依赖链，悄然潜入 .NET 项目的构建流程。开发者报告，其构建服务器开始抛出明确的警告，指出 NPOI 所依赖的 `System.Security.Cryptography.Xml` 10.0.5 版本存在一个已公开的漏洞。这一警告并非孤立事件，而是通过 `dotnet nuget why` 命令清晰追溯到了 NPOI 库，揭示了从项目到 NPOI，再到问题加密包的完整传递路径。

该漏洞的详细信息已记录在 GitHub 安全公告中，编号为 GHSA-37gx-xxp4-5rgx。尽管当前评估为“低严重性”，但其在依赖链中的存在，意味着任何使用 NPOI 2.8.0 版本的 .NET 项目，都可能在不经意间引入这一潜在风险。问题核心在于 NPOI 项目锁定了存在漏洞的特定版本依赖包，导致下游开发者无法通过常规的依赖更新来规避此风险。

这一情况对依赖 NPOI 进行 Office 文档处理的众多 .NET 应用构成了潜在的供应链安全压力。开发者已直接向 NPOI 维护团队发出请求，敦促其发布一个更新版本，将 `System.Security.Cryptography.Xml` 依赖升级至已修复的安全版本。目前，风险被限制在构建警告阶段，但若漏洞被利用，可能影响依赖 NPOI 进行 XML 签名或加密相关操作的应用安全性。维护团队的响应速度与更新发布，将成为消除这一供应链风险的关键。