项目里 npm audit 报了 CVE 漏洞，但我不确定要不要升级依赖？

南宫苗苗提问于 2026-02-24 00:47:20 阅读 109

安全

我跑 npm audit 时发现有个中危的 CVE（CVE-2023-XXXXX），影响的是一个间接依赖 lodash，但我的代码里根本没直接用它。升级主依赖可能会破坏现有功能，这到底该不该处理？

这是我在 package-lock.json 里找到的依赖路径：

{
  "node_modules/some-ui-lib": {
    "version": "2.1.0",
    "requires": {
      "lodash": "^4.17.20"
    }
  }
}

现在卡住了：不修怕有风险，修了又怕 UI 库不兼容……有没有人遇到过类似情况？

我来解答赞 21 收藏

反馈

2 条解答

小慧娜 Lv1

先确认下这个 CVE 具体是什么漏洞，lodash 近年比较出名的是原型污染（比如 CVE-2021-23337）和路径穿越类问题，如果只是低/中危且你项目里没用到对应 API（比如没用到 lodash.merge、lodash.set 这类深层操作），那实际风险可能比评分低。

先跑个 npm ls lodash 看下有没有其他间接依赖也拉了旧版，再查下 lodash 4.17.21 是不是能覆盖这个漏洞（大部分 4.17.21+ 的版本已经修了常见问题）。

如果主依赖 some-ui-lib 确实锁死了 ^4.17.20，你可以试试用 resolutions（Yarn）或者 overrides（npm 8.3+）直接覆盖 lodash 版本，比如：

"overrides": {

  "lodash": "^4.17.21"

}

加完后删掉 node_modules 和 package-lock.json 重装。这样不改 UI 库源码，只把底层 lodash 拉到安全版本，实测大部分情况能跑起来——前提是这个 UI 库没写死 lodash@4.17.20 的特性。

如果项目上线压力大，先用 npm audit fix --force 试试（会跳过兼容性检查），然后重点测下 UI 库里用到 lodash 的地方（比如表单组件、数据处理逻辑），一般问题不大。真炸了再回滚。

别光看 CVE 分数，先看 exploit 是否可触发——你项目没直接用 lodash，那大概率攻击面为零。优先级可以往后排，但别拖太久。

2026-02-24 15:11

轩辕天佑 Lv1

应该是 lodash 的 CVE-2023-26136（原型污染），虽然 indirect，但只要项目里有 JSON.parse 或对象合并逻辑就可能被利用，建议先用 npm ls lodash 确认版本，如果低于 4.17.21 就必须修；别怕 UI 库，lodash 4.17.21 是 patch 升级，几乎不会破坏 API，直接 npm update lodash 就行，不行再 npm install lodash@4.17.21 强制覆盖。

2026-02-24 01:03