## Lodash 4.14.0 暴露 6 个高危漏洞，最高严重性达 9.1 分
一个广泛使用的 JavaScript 工具库 Lodash 的旧版本 4.14.0 被安全扫描工具标记为包含六个高危漏洞，其中最高严重性评分为 9.1 分（CVSS v3）。该版本目前仍被项目依赖，路径位于 `/node_modules/lodash/package.json`，表明其风险已直接嵌入到生产或开发环境中。这种在核心依赖中发现多个高严重性漏洞的情况，对依赖该库的应用程序构成了直接的供应链安全威胁。

漏洞详情显示，其中一个被追踪为 CVE-2019-10744 的漏洞是已知问题。该版本 Lodash 作为模块化实用工具库，被全球数百万项目使用以简化编码任务，其安全性问题影响范围极广。发现该问题的提交记录指向一个特定的 GitHub 仓库，表明安全审计工具已在持续集成流程中捕获到这一风险。虽然部分漏洞可能已有修复版本，但旧版本依赖的持续存在意味着大量系统可能尚未更新。

对于开发团队和安全运维人员而言，这构成了迫在眉睫的修复压力。未及时升级到已修复的 Lodash 版本，可能导致应用程序面临原型污染等攻击，进而引发数据篡改或服务中断风险。此事件也凸显了开源软件供应链的脆弱性——一个基础工具的旧版本漏洞，可能潜伏多年，并在自动化扫描中被重新发现，迫使下游所有用户紧急评估和升级其依赖项。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: JavaScript, 供应链安全, 开源漏洞, CVE-2019-10744, npm
- **Credibility**: unverified
- **Published**: 2026-04-01 19:27:41
- **ID**: 45944
- **URL**: https://whisperx.ai/en/intel/45944