## Underscore.js 安全漏洞 CVE-2026-27601：递归缺陷可导致拒绝服务攻击
流行的 JavaScript 工具库 Underscore.js 中发现一个关键安全漏洞，编号为 CVE-2026-27601。该漏洞存在于 `_.flatten` 和 `_.isEqual` 函数中，涉及无限递归问题，可能被恶意行为者利用，导致依赖该库的应用程序崩溃，从而引发拒绝服务攻击。此漏洞影响 Underscore 1.13.7 及更早的所有版本。

该漏洞的根源在于 `_.flatten` 和 `_.isEqual` 函数在处理具有特定结构的输入时，会陷入无限递归循环。攻击者可以精心构造恶意数据，触发此缺陷，耗尽服务器或客户端资源，最终使应用程序停止响应。虽然利用此漏洞需要程序具备某些特定属性，但它为针对使用 Underscore 的 Web 服务和 Node.js 应用程序的潜在攻击打开了大门。

维护者已发布 Underscore 1.13.8 版本以修复此漏洞。依赖管理工具如 Renovate 已开始自动创建拉取请求，将依赖项从 1.13.7 更新至 1.13.8。对于开发团队和安全运维人员而言，这是一个需要立即采取行动的补丁更新。未能及时更新的项目将面临其应用在特定条件下被恶意输入击垮的风险，可能影响服务可用性和系统稳定性。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: CVE-2026-27601, JavaScript, Security Vulnerability, Denial of Service, Open Source
- **Credibility**: unverified
- **Published**: 2026-04-01 06:26:55
- **ID**: 44719
- **URL**: https://whisperx.ai/en/intel/44719