search-ui 1.20.2 曝出可被利用漏洞，依赖项 qs 存在安全风险

Elastic 的 search-ui 开源库版本 1.20.2 被确认存在两个安全漏洞，其中最高严重性评分为 3.7 分。关键点在于，其中一个漏洞被标记为“可被利用”，这意味着攻击者有可能通过特定路径触发该漏洞，而不仅仅是理论上的风险。该漏洞源于一个名为 `qs` 的传递依赖项，其版本 6.13.0 存在缺陷。

具体漏洞编号为 CVE-2026-2391，被归类为低严重性。尽管 CVSS 评分不高，但“可被利用”的标签显著提升了其实际威胁级别。该漏洞直接影响 search-ui 库，其修复方案已在新版本 1.21.0 中提供。这表明开发团队已经意识到问题并发布了补丁，但所有仍在使用 1.20.2 或更早版本的系统和项目都暴露在此风险之下。

对于依赖 Elasticsearch 和 search-ui 构建搜索功能的企业和开发者而言，这是一个明确的安全警告。未及时升级的部署可能面临潜在的数据处理异常或服务中断风险。虽然漏洞本身严重性较低，但结合其可被利用的特性，它构成了供应链安全中的一个具体弱点，可能被用作更复杂攻击链的一环。建议所有相关团队立即审查其依赖版本并计划升级至 1.21.0 或更高版本。