Vuex 3.6.2 依赖包曝出两个安全漏洞，最高严重性4.8分，路径可达

在 Vue.js 生态系统的核心依赖中，一个关键的安全警报被触发。用于状态管理的官方库 `vuex-3.6.2.tgz` 被发现包含两个安全漏洞，其中一个被评定为中等严重性，CVSS 评分为 4.8。更关键的是，漏洞扫描工具明确标记这两个漏洞的路径为“可达”，这意味着受影响的代码路径在应用程序中可能被实际访问和利用，而不仅仅是未被使用的依赖。这一发现直接冲击了基于 Vue 2.x 和 Vuex 3.x 构建的众多企业级前端应用的安全基线。

具体漏洞涉及 `vuex-3.6.2.tgz` 所依赖的 `vue-2.7.14.tgz` 包。第一个漏洞被标识为 CVE-2024-6783，被评定为中等严重性，目前尚无官方修复版本。第二个漏洞 CVE-2024-9506 被评定为低严重性，其修复方案要求将 Vue 升级至 3.0.0 版本。这两个漏洞的利用成熟度均被标记为“未定义”，且 EPSS 评分均低于 1%，表明当前已知的主动攻击风险较低，但漏洞的存在本身构成了潜在的安全债务。

对于大量仍在使用 Vue 2 技术栈的团队和项目而言，这一情况带来了直接的升级压力和安全维护困境。修复路径指向了向 Vue 3 的重大版本迁移，这并非简单的补丁更新，而可能涉及重大的重构工作和兼容性测试。在漏洞“可达”的背景下，安全团队无法将其视为可忽略的间接依赖风险，必须评估其在实际业务场景中的暴露面并制定应对策略，无论是通过临时缓解措施还是规划长期的框架升级。