## middleman-autoprefixer 3.0.0.gem 内嵌 33 个高危漏洞，最高 CVSS 7.5 分
一个名为 `middleman-autoprefixer-3.0.0.gem` 的 Ruby 库被安全扫描工具检出，其依赖链中潜藏着 33 个安全漏洞，其中最高严重性评分为 CVSS 7.5 分。该漏洞包在 GitHub 仓库 `jgeraigery/developer.snaplogic.com` 的 HEAD 提交中被发现，其依赖文件路径指向 `/Gemfile.lock`，而具体的漏洞库路径为 `/vendor/cache/rack-2.2.6.2.gem`。这表明一个看似普通的构建工具依赖，实际上引入了一个包含数十个已知漏洞的过时组件，为整个项目带来了直接的安全风险。

漏洞详情显示，这些安全问题通过依赖传递被引入。`middleman-autoprefixer` 是一个用于 Middleman 静态站点生成器的 Autoprefixer 插件，但其 3.0.0 版本锁定了存在大量漏洞的 `rack-2.2.6.2.gem`。安全报告列出了包括 CVE-2026-35611 在内的多个漏洞条目，并提供了 CVSS 评分、可利用成熟度（Exploit Maturity）和修复版本等信息。这种情况凸显了在软件开发中，即使是一个间接的、被深度锁定的依赖，也可能成为整个应用安全链条中最薄弱的一环。

对于使用此库的项目而言，这意味着其构建流水线或最终生成的静态站点可能面临被攻击的风险。虽然漏洞存在于构建工具链而非最终产品代码中，但其在开发环境中的存在可能被利用，进而威胁到开发基础设施或供应链安全。项目维护者需要立即审查其 `Gemfile.lock`，将 `rack` 依赖升级至已修复的安全版本，并考虑更新或替换 `middleman-autoprefixer` 本身。这一事件再次警示，对第三方依赖，尤其是构建工具链的持续安全监控与及时更新至关重要。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: 供应链安全, 开源漏洞, RubyGems, CVE, 依赖管理
- **Credibility**: unverified
- **Published**: 2026-04-08 06:27:05
- **ID**: 54430
- **URL**: https://whisperx.ai/en/intel/54430