## Redux 3.7.2 依赖包曝出 13 项漏洞，最高严重性达 9.1 分，但攻击路径不可达
一个广泛使用的 JavaScript 状态管理库 Redux 的旧版本 3.7.2 被安全扫描工具标记存在 13 项安全漏洞，其中最高严重性评分为 9.1 分（CRITICAL）。然而，关键细节在于，这些漏洞均被评估为“不可达”，意味着在 Redux 的典型使用场景下，攻击者难以利用这些漏洞。这一发现揭示了开源供应链安全中一个常见但容易被误解的困境：高严重性评分未必等同于实际风险。

漏洞主要存在于 Redux 的依赖项中，特别是 lodash 和 lodash-es 库的旧版本。例如，CVE-2019-10744（CVSS 9.1）影响 lodash-es，而 CVE-2020-8203（CVSS 7.4）影响 lodash。报告明确指出，尽管部分漏洞有可用修复版本（如 lodash 可升级至 4.17.19），但所有漏洞的“可达性”状态均为“不可达”。这表明漏洞代码存在于依赖树中，但应用程序的执行流可能永远不会触发这些易受攻击的函数，从而在实际上隔离了风险。

这一情况凸显了现代软件依赖管理的复杂性。开发团队和安全工具经常面临警报疲劳，需要区分“存在漏洞的组件”和“可被利用的漏洞”。对于仍在使用 Redux 3.7.2 这一较旧版本的维护者而言，报告提供了压力点：虽然直接风险可能有限，但依赖过时、含有已知漏洞的库会带来潜在的合规与安全审计风险。最佳实践仍是升级到更新的、已修复这些问题的 Redux 版本，以彻底消除隐患并简化安全状况。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 开源安全, 供应链漏洞, JavaScript, 前端开发, 安全审计
- **Credibility**: unverified
- **Published**: 2026-03-28 04:27:03
- **ID**: 38741
- **URL**: https://whisperx.ai/en/intel/38741