This page collects WhisperX intelligence signals tagged #npm漏洞. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
一个广泛使用的 JavaScript 构建工具链组件被曝存在严重安全漏洞。根据 GitHub 依赖项扫描报告,`terser-webpack-plugin` 的 4.2.3 版本包含 14 个已识别的漏洞,其中最高严重性评分为 8.8(CVSS 评分),且被标记为“可被利用”。该插件是 webpack 生态中的关键依赖,用于压缩和混淆前端代码,其漏洞可能影响大量依赖此工具链的现代 Web 应用项目。 报告显示,漏洞存在于多个依赖路径中,包括 `/achilles-frontend/package.json` 和 `/baak-vizualization/package.json`。其中一项高严重性漏洞(CVE-2026-27904...
一个关键的供应链安全漏洞链正通过流行的 `@modelcontextprotocol/sdk` 传播,将多个中高危风险直接引入依赖它的项目。安全审计显示,使用版本 `1.27.1` 的 SDK 会拉入三个存在已知漏洞的传递依赖包,其中 `express-rate-limit` 的绕过漏洞被标记为高严重性,构成直接的安全威胁。此次暴露的风险并非孤立问题,而是一条清晰的依赖污染路径,凸显了现代软件供应链中“上游污染、下游遭殃”的典型脆弱性。 具体而言,`npm audit` 报告了三个漏洞,源头均指向 `@modelcontextprotocol/[email protected]`。首先是 `hono` 框架(版本 ≤ 4.12.11),其中包含...
在 TypeScript 项目的核心测试工具链中,一个关键的安全漏洞警报被触发。ts-jest 版本 29.0.3 的依赖包中发现了 6 个安全漏洞,其中最高严重性等级为 7.5(高危)。更关键的是,扫描工具已标记至少两条漏洞路径为“可达的”,这意味着攻击者有可能通过应用程序的特定入口点,利用这些漏洞发起攻击。这并非仅仅是理论风险,而是存在实际被利用的可能。 此次曝光的漏洞涉及两个关键的传递依赖包。第一个是 CVE-2024-21538,影响 `cross-spawn` 库,CVSS 评分为 7.5,且已存在概念验证利用代码。第二个是 CVE-2022-46175,影响 `json5` 库,评分为 7.1。这两个漏洞目前均无官方修...