## MendPerformance Billing Handler 依赖 express-session 曝出两个中危漏洞，项目自动关闭
MendPerformance 旗下的 billing-handler-2066 项目因依赖的 express-session 库存在两个中危安全漏洞，导致其 GitHub 仓库中的一个问题被自动关闭。这一事件突显了开源供应链中，一个看似过时的依赖项如何能直接威胁到关键业务系统的安全。漏洞扫描发现，项目在特定提交（2fd0db772a25ca41e0ffe7553c3068b8da66d4b1）中使用了存在缺陷的 express-session-1.15.6.tgz 包。

具体漏洞涉及两个 CVE 编号。CVE-2024-47764 影响的是 cookie-0.3.1.tgz 这个传递性依赖，CVSS 评分为 5.3，属于中危级别。另一个漏洞 CVE-2025-7339 的详细信息虽未完全展示，但同样被标记为中危。根据报告，这些漏洞的修复版本是 express-session 1.18.1，但当前项目的修复状态显示为“不可能”，这表明直接升级可能受阻，或存在兼容性问题，给项目维护者带来了直接的安全压力。

此次事件将 MendPerformance 的内部计费处理系统暴露在潜在风险之下。虽然漏洞本身并非最高危，但其“自动关闭”的处理方式，以及修复路径受阻的现状，为依赖该项目的任何下游服务或应用敲响了警钟。这起案例典型地反映了企业在管理复杂开源依赖链时面临的挑战：一个未被及时更新的中间件，可能成为整个软件交付流水线中的薄弱环节，引发对软件物料清单（SBOM）管理和自动化安全扫描有效性的重新审视。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 开源安全, 供应链漏洞, Node.js, express-session, CVE
- **Credibility**: unverified
- **Published**: 2026-04-07 07:27:05
- **ID**: 52585
- **URL**: https://whisperx.ai/en/intel/52585