ts-jest 29.0.3 依赖链曝高危漏洞，可达性攻击路径已确认

在 TypeScript 项目的核心测试工具链中，一个关键的安全漏洞警报被触发。ts-jest 版本 29.0.3 的依赖包中发现了 6 个安全漏洞，其中最高严重性等级为 7.5（高危）。更关键的是，扫描工具已标记至少两条漏洞路径为“可达的”，这意味着攻击者有可能通过应用程序的特定入口点，利用这些漏洞发起攻击。这并非仅仅是理论风险，而是存在实际被利用的可能。

此次曝光的漏洞涉及两个关键的传递依赖包。第一个是 CVE-2024-21538，影响 `cross-spawn` 库，CVSS 评分为 7.5，且已存在概念验证利用代码。第二个是 CVE-2022-46175，影响 `json5` 库，评分为 7.1。这两个漏洞目前均无官方修复版本可用，且被标记为“传递性”依赖，意味着它们并非由开发者直接引入，而是通过 ts-jest 等上层工具链间接带入项目，增加了管理和修复的复杂性。

对于依赖 ts-jest 进行单元测试的现代 TypeScript 项目，尤其是企业级应用，此事件构成了直接的安全威胁。漏洞的“可达性”状态将风险从理论层面提升至实际攻击层面，可能被用于供应链攻击或针对开发环境的渗透。项目维护者需要立即审查其 `package.json` 中的依赖树，评估受影响范围，并寻求临时缓解措施，例如依赖覆盖或等待上游发布安全补丁。这起事件再次凸显了现代软件开发中复杂依赖链所带来的隐蔽安全风险。