## Express.js 4.13.4 依赖库曝出 8 个高危漏洞，最高 CVSS 7.5 分，无官方修复方案
一个长期未更新的 Express.js 4.13.4 版本，其依赖链中潜伏着至少 8 个高危安全漏洞，其中三个关键漏洞的 CVSS 评分高达 7.5 分。这些漏洞存在于 `negotiator`、`fresh` 和 `path-to-regexp` 等核心依赖库中，且均无官方修复补丁可用。该版本作为 Node.js 生态中广泛使用的 Web 框架，其遗留风险正持续影响大量未升级的旧项目。

漏洞报告显示，问题并非直接出在 Express 主库，而是其传递依赖（Transitive Dependencies）。具体涉及 CVE-2016-10539、CVE-2017-16119、CVE-2024-45296 和 CVE-2024-52798 等编号。所有漏洞的利用成熟度均为“未定义”，且 EPSS（漏洞利用预测评分系统）概率均低于 1%，表明当前公开的主动攻击有限，但风险依然存在。由于这些依赖库版本老旧，上游维护者未提供修复版本，导致项目维护者无法通过简单的版本升级来消除隐患。

对于仍在使用 Express 4.x 旧版本的企业和开发者而言，这构成了显著的技术债务与安全压力。唯一的缓解路径是升级到 Express 5.x 或更高版本，但这可能涉及重大的代码重构与测试工作。在供应链安全日益受到重视的背景下，此类遗留依赖的“僵尸漏洞”问题，凸显了开源软件维护与长期安全支持之间的深刻矛盾。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: Node.js, 供应链安全, 开源漏洞, Web框架, 技术债务
- **Credibility**: unverified
- **Published**: 2026-04-21 18:23:02
- **ID**: 74643
- **URL**: https://whisperx.ai/en/intel/74643