## csurf-1.9.0.tgz 曝出 CVE-2024-47764 漏洞，依赖项 cookie-0.3.1 存在中等风险
开源安全扫描在 MendPerformance 的 billing-handler-2066 项目中，检测到其依赖的 csurf-1.9.0.tgz 库存在一个已公开的中等严重性漏洞。该漏洞被标识为 CVE-2024-47764，CVSS 评分为 5.3，其根源在于 csurf 库所依赖的底层包 cookie-0.3.1.tgz。这是一个传递性依赖漏洞，意味着风险并非直接来自 csurf 库本身，而是来自其依赖链中更深层、更基础的组件。

具体而言，漏洞存在于项目提交记录 2fd0db772a25ca41e0ffe7553c3068b8da66d4b1 中。目前，针对此漏洞的修复方案存在显著障碍。由于漏洞位于传递性依赖中，且 csurf 库本身并未发布包含修复的更新版本，因此项目维护者无法通过简单的版本升级来直接解决问题。这迫使开发团队必须寻找替代的缓解措施，例如替换整个依赖项或实施其他安全控制，增加了修复的复杂性和工作量。

对于依赖 csurf 库进行 CSRF（跨站请求伪造）保护的 Node.js 应用程序而言，此漏洞构成了潜在的安全风险。虽然 CVSS 5.3 的评分属于中等，但任何身份验证或会话管理相关的缺陷都可能被攻击者利用。这起事件凸显了现代软件供应链中，管理深层传递性依赖安全性的持续挑战。项目团队需要评估其应用的具体上下文，以确定该漏洞的实际影响和紧急程度。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: CVE-2024-47764, Node.js, 供应链安全, 开源漏洞, 传递性依赖
- **Credibility**: unverified
- **Published**: 2026-04-07 07:27:03
- **ID**: 52584
- **URL**: https://whisperx.ai/en/intel/52584