• 漏洞编号：暂无
• 漏洞等级：严重
• 漏洞标签：漏洞武器化
• 发布时间：2026-03-31

漏洞描述

2026年3月31日，互联网上披露 axios 项目遭受供应链攻击。在 axios 的 0.30.4 和 1.14.1 版本中存在恶意依赖 plain\-crypto\-js。安装受影响版本的包后会下载攻击者指定的远控木马并执行。官方已下线相关影响包，建议客户尽快排查。

修复建议

1. 排查是否有对应受影响的包。 2. 云安全中心 镜像应用漏洞检测 已支持针对该起供应链攻击受影响包检测。

参考链接

https://github.com/advisories/GHSA-fw8c-xr5c-95f9

https://avd.aliyun.com/detail?id=AVD-2026-1864419