## Rollup 模块打包工具爆出高危路径遍历漏洞 CVE-2026-27606，可导致任意文件写入
流行的 JavaScript 模块打包工具 Rollup 在其 4.x 版本中被发现存在一个高危安全漏洞，被标记为 CVE-2026-27606。该漏洞源于不安全的文件名清理机制，攻击者可能利用路径遍历（Path Traversal）技术，在受影响的系统上实现任意文件写入。这意味着，如果恶意代码被构建工具处理，理论上可能覆盖或创建服务器上的关键文件，构成严重的安全威胁。

该漏洞的详细安全公告已由 Rollup 官方在 GitHub 上发布。根据自动化依赖管理工具 Renovate 生成的更新请求，此次安全更新旨在将 Rollup 从存在漏洞的 4.57.1 版本升级至已修复的 4.59.0 版本。更新记录显示，新版本的“年龄”和“置信度”指标均处于良好状态，表明这是一个经过验证的稳定修复。然而，更新过程中也出现了警告，提示部分依赖项无法被正常查找，需要开发者进一步检查依赖仪表板。

对于全球数以百万计依赖 Rollup 进行前端构建的 Web 开发项目和 CI/CD 流水线而言，此漏洞构成了直接的供应链安全风险。开发团队和安全运维人员需要立即审查其项目依赖，优先应用此安全补丁。未能及时更新的项目，其构建环境可能面临被入侵的风险，进而可能危及最终交付的应用程序的安全性。此次事件再次凸显了开源软件供应链中，一个核心工具的漏洞可能产生的广泛连锁影响。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 供应链安全, 开源漏洞, JavaScript, CVE, 构建工具
- **Credibility**: unverified
- **Published**: 2026-04-02 02:26:59
- **ID**: 46432
- **URL**: https://whisperx.ai/en/intel/46432