## TailwindCSS 3.4.17 曝 8 项漏洞，最高严重性达 7.5 分，影响前端供应链
流行的 CSS 框架 TailwindCSS 的 3.4.17 版本被曝存在 8 个安全漏洞，其中最高严重性评分为 7.5 分（CVSS v3）。该漏洞包（tailwindcss-3.4.17.tgz）通过依赖链影响下游项目，具体路径为 `/python/packages/autogen-studio/frontend/package.json`。这表明一个广泛使用的前端工具链核心组件存在已知的安全风险，可能波及大量基于此构建的现代 Web 应用和开发环境。

漏洞详情显示，其中一个被标记为“高危”（High）的漏洞编号为 CVE-2026-27904，其 CVSS 评分为 7.5。该漏洞源于其依赖项 `minimatch-9.0.5.tgz`。目前，该漏洞的利用成熟度尚未定义，且利用概率评分（EPSS）为 0.0%，但这并不意味着风险不存在。安全报告明确指出，针对此漏洞的修复方案是存在的，即升级 Tailwindcss 到已修复的版本。

此次事件将 TailwindCSS 及其庞大的用户生态置于安全审查之下。对于依赖该框架进行快速开发的团队和企业而言，这意味着需要立即检查项目依赖树，并评估升级路径。在软件供应链安全日益受到重视的背景下，此类在核心工具中发现的漏洞，即便暂时未被广泛利用，也构成了潜在的入口点风险，可能在未来被组合利用，从而对应用安全构成实质性威胁。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 前端安全, 供应链漏洞, CVE, 开源软件, 依赖管理
- **Credibility**: unverified
- **Published**: 2026-04-02 12:27:25
- **ID**: 47331
- **URL**: https://whisperx.ai/en/intel/47331