Symphony BDK BOM 2.12.0 曝 12 项漏洞，最高危 8.3 分且路径可达

Symphony 机器人开发套件（BDK）的核心物料清单（BOM）文件 `symphony-bdk-bom-2.12.0.pom` 被检出存在 12 项安全漏洞，其中最高严重性评分为 8.3 分（高危）。关键风险在于，至少一项高危漏洞（CVE-2022-1471）被标记为“路径可达”（Reachable），这意味着攻击者有可能通过应用程序的特定代码路径利用此漏洞，而非仅存在于未使用的依赖库中。该漏洞存在于传递性依赖 `snakeyaml-1.33.jar` 中，其利用成熟度已被评估为“功能性”（Functional），且利用可能性评分（EPSS）高达 93.8%，表明在公开环境中被利用的风险极高。

此次漏洞扫描由 GitHub 的依赖安全机制在 `/workflow-language/build.gradle` 文件中触发，直接指向了由 Symphony（现为 Finos 基金会项目）维护的 BDK BOM 版本 2.12.0。BOM 文件用于统一管理项目依赖版本，其漏洞会直接影响所有引用该版本的项目构建安全。报告显示，对于最严重的 CVE-2022-1471，目前尚无可用修复版本（Fixed in: N/A），且修复方案不可用（Remediation Available: ❌），这迫使开发团队必须寻求其他缓解或升级路径。

此事件对使用 Symphony BDK 2.12.0 版本构建企业聊天机器人和集成服务的开发团队构成直接安全压力。由于 BOM 的传递性依赖特性，漏洞影响范围可能广泛波及下游应用。安全团队需立即评估其构建链，并考虑升级至已修复的 BDK 版本或采取临时缓解措施。持续使用存在“路径可达”高危漏洞且无官方补丁的组件，将使相关应用面临数据篡改、拒绝服务或更严重远程代码执行的实际风险。