1. ts-jest 29.0.3 依赖链曝高危漏洞,可达性攻击路径已确认
在 TypeScript 项目的核心测试工具链中,一个关键的安全漏洞警报被触发。ts-jest 版本 29.0.3 的依赖包中发现了 6 个安全漏洞,其中最高严重性等级为 7.5(高危)。更关键的是,扫描工具已标记至少两条漏洞路径为“可达的”,这意味着攻击者有可能通过应用程序的特定入口点,利用这些漏洞发起攻击。这并非仅仅是理论风险,而是存在实际被利用的可能。 此次曝光的漏洞涉及两个关键的传递依赖包。第一个是 CVE-2024-21538,影响 `cross-spawn` 库,CVSS 评分为 7.5,且已存在概念验证利用代码。第二个是 CVE-2022-46175,影响 `json5` 库,评分为 7.1。这两个漏洞目前均无官方修...