## filesniffer-1.0.3.tgz 曝出高危漏洞 (CVSS 6.5)，依赖链风险波及 JuiceShop 项目
开源包 `filesniffer-1.0.3.tgz` 被检测出一个严重安全漏洞，CVSS 评分为 6.5（中等）。该漏洞并非直接存在于 `filesniffer` 本身，而是潜伏在其深层依赖链中——具体路径为 `/node_modules/filehound/node_modules/brace-expansion/package.json`。这意味着任何引入 `filesniffer` 的项目，其安全防线都可能因这个间接依赖而被悄然突破。该漏洞已在 GitHub 仓库 `GarySegal-Mend-DemoCorp/JuiceShop` 的特定提交（55db57ec3f9859e87962c0bf25387e43480847fc）中被识别，表明风险已进入实际代码库。

漏洞详情指向 CVE-2026-33750。虽然漏洞的成熟度（Exploit Maturity）和 EPSS 评分在原始报告中未明确显示，但 6.5 的 CVSS 分数已将其标记为需要优先处理的风险。这种嵌套依赖漏洞尤其棘手，因为开发者在审查直接依赖时极易忽略深层次的、被传递引入的脆弱组件。`brace-expansion` 库中的这个缺陷，通过 `filehound` 和 `filesniffer` 的传递，最终将安全威胁导入了使用该工具链的项目。

对于依赖 `filesniffer` 或类似工具链的开发者与项目维护者而言，此事件是一个明确的警示。它凸显了现代软件供应链中“依赖蔓延”带来的隐蔽风险。修复可能依赖于上游库 `brace-expansion` 发布安全更新，或寻找 `filesniffer`/`filehound` 的替代方案。项目方需要立即审查其依赖树，评估该漏洞的可达性（Reachability）与实际影响，并制定修复计划，以防潜在的攻击者利用此路径进行入侵。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 供应链安全, 开源漏洞, Node.js, CVE-2026-33750, 依赖管理
- **Credibility**: unverified
- **Published**: 2026-03-28 01:27:03
- **ID**: 38615
- **URL**: https://whisperx.ai/en/intel/38615