esbuild 开发服务器默认 CORS 设置存在安全漏洞，允许任意网站跨域请求 (GHSA-67mh-4wv8-2f99)

esbuild 开发服务器的一个关键安全配置缺陷已被披露。该漏洞源于其默认的跨域资源共享（CORS）策略，该策略为所有请求（包括服务器发送事件连接）设置了 `Access-Control-Allow-Origin: *` 头部。这一宽松的配置使得任何网站都能向运行中的 esbuild 开发服务器发送请求并读取其响应，从而可能导致敏感信息泄露或服务器被滥用。该漏洞被标记为 GHSA-67mh-4wv8-2f99，促使维护者发布了安全更新。

此次安全更新通过一个依赖管理机器人（Renovate）的拉取请求（PR）形式呈现，旨在将 esbuild 依赖从存在漏洞的版本（^0.20.2）升级至已修复的版本（^0.28.0）。更新记录显示，新版本已具备较高的合并置信度。该漏洞直接影响所有使用默认配置运行 esbuild 开发服务器的项目，尤其是在开发环境中，攻击者可能利用此缺陷进行跨站请求伪造（CSRF）或窃取开发数据。

对于依赖 esbuild 进行前端构建和开发的团队而言，此漏洞构成了直接的安全风险。它突显了开发工具链中默认安全设置的重要性，以及自动化依赖更新在快速响应安全威胁中的关键作用。项目维护者应立即审查并应用此安全更新，以关闭这一攻击面，防止潜在的恶意网站利用开发服务器进行未授权的数据访问。