## Validator.js 9.4.1 曝出高危漏洞 CVE-2025-12758，CVSS 评分 7.5
广泛使用的 Node.js 字符串验证库 `validator` 的 9.4.1 版本被曝存在三个安全漏洞，其中最高危的 CVE-2025-12758 获得了 7.5 的 CVSS 评分。该漏洞被标记为“高”严重性，直接存在于 `validator-9.4.1.tgz` 包中。尽管漏洞的利用成熟度尚未定义，且 EPSS 评分低于 1%，但其较高的基础评分意味着一旦被利用，可能对依赖该库进行输入验证和清理的应用程序造成显著影响。

此次发现涉及 `validator` 库的 9.4.1 版本，这是一个在 Node.js 生态系统中极为流行的字符串验证和清理工具。漏洞详情显示，该问题为直接依赖漏洞，修复版本已发布至 13.15.22。值得注意的是，扫描报告将此漏洞标记为“不可达”，这可能意味着在特定代码上下文中，攻击路径不易被触发，但这并不等同于漏洞不存在或风险为零。开发团队仍需评估其应用程序中该库的实际使用情况。

对于大量使用 `validator` 库进行用户输入处理、数据清洗和 API 参数验证的 Web 应用和服务来说，这是一个需要立即关注的安全信号。虽然“不可达”的标记可能暂时降低了紧急程度，但拥有 7.5 评分的已知漏洞存在于核心依赖中，本身就是一种潜在风险。维护者应尽快将依赖升级至已修复的 13.15.22 版本，以彻底消除隐患，并审查现有代码中是否存在可能绕过“不可达”状态的其他攻击向量。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: Node.js, npm, 安全漏洞, CVE, 开源软件
- **Credibility**: unverified
- **Published**: 2026-03-28 04:27:05
- **ID**: 38742
- **URL**: https://whisperx.ai/en/intel/38742