## Express.js 4.13.4 依赖链曝出 8 个高危漏洞，最高 CVSS 7.5 分，无官方修复方案
一个长期被广泛使用的 Node.js 框架版本，其依赖链中潜伏着多个高危安全漏洞，且没有直接的官方修复路径。GitHub 的自动安全扫描显示，express-4.13.4.tgz 包中发现了 8 个漏洞，其中 3 个被标记为“高危”级别，CVSS 评分均为 7.5。这些漏洞并非存在于 Express 核心代码本身，而是深藏在其传递依赖（Transitive Dependencies）中，包括 `negotiator`、`fresh` 和 `path-to-regexp` 等关键组件。这意味着，即使开发者直接使用的是 Express 框架，其应用也可能因为底层依赖而暴露在风险之下。

更令人担忧的是，根据漏洞数据库信息，这些已公开数年的高危漏洞（如 CVE-2016-10539、CVE-2017-16119）以及较新的 CVE-2024-45296，目前均“无可用修复方案”（Remediation Available: ❌）。扫描报告明确指出，这些漏洞的“修复版本”一栏为“N/A”。这表明上游依赖库可能已停止维护，或者官方从未发布过针对这些旧版本的安全补丁。对于仍在使用此经典但已过时框架版本（Express 4.x 系列）的遗留项目或系统而言，这构成了持续且难以缓解的安全债务。

这种情况将大量依赖 Express 4.13.4 及其生态的 Web 应用置于潜在威胁之下。由于缺乏上游修复，开发团队面临艰难选择：要么承受未知的安全风险继续运行，要么投入资源进行大规模升级或依赖替换，而升级到现代版本（如 Express 5.x）本身可能带来兼容性挑战。这起事件凸显了开源软件供应链中“僵尸依赖”的长期安全隐患——那些看似稳定但已无人维护的底层库，可能成为整个应用安全链条中最脆弱的一环。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: Node.js, 供应链安全, 开源漏洞, Web框架, 遗留系统风险
- **Credibility**: unverified
- **Published**: 2026-04-02 23:27:05
- **ID**: 48118
- **URL**: https://whisperx.ai/en/intel/48118