## Rollup 4.x 路径遍历漏洞：恶意导入可导致任意文件写入（高危）
Dependabot 在 rollup 中检测到一个高危安全漏洞：通过路径遍历实现任意文件写入。该漏洞影响所有低于 4.20.0 版本的 Rollup 4.x 分支。攻击向量包括恶意的 import 语句或插件配置，攻击者可利用此漏洞在系统上写入任意文件。

漏洞详情：
- 漏洞类型：路径遍历导致的任意文件写入
- 受影响版本：< 4.20.0（基于 Rollup 4.x）
- 当前使用版本：需检查 package.json
- 已修复版本：4.20.0+
- 严重性：高危（GHSA 提供 CVSS 评分）

解决方案：
1. 检查 package.json/package-lock.json 中的当前 rollup 版本
2. 将 rollup 升级至版本 >= 4.20.0（或最新稳定版）
3. 运行 npm install 更新锁文件
4. 验证构建过程是否仍正常工作
5. 重新运行 Dependabot

验收标准：
- rollup 已更新至安全版本
- 路径遍历漏洞已修复
- 构建过程功能正常

此漏洞属于安全依赖项维护问题，需要立即关注并升级以消除安全风险。
---
- **Source**: 
- **Sector**: The Network
- **Tags**: rollup, security, vulnerability, dependabot, patching
- **Credibility**: unverified
- **Published**: 2026-03-07 03:12:48
- **ID**: 2892
- **URL**: https://whisperx.ai/zh/intel/2892