This page collects WhisperX intelligence signals tagged #dependency_update. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
谷歌 gRPC-Go 框架中发现一个关键安全漏洞,编号为 CVE-2026-33186。该漏洞源于框架在处理 HTTP/2 请求的 `:path` 伪头部时,未能强制要求路径以正斜杠 (`/`) 开头。攻击者可能利用此缺陷,构造特定请求绕过预期的授权检查,从而获得对受保护服务或端点的未授权访问。这一缺陷直接威胁到所有依赖 gRPC 进行微服务间通信的现代云原生架构的安全边界。 漏洞影响 `google.golang.org/grpc` 库的多个版本。在开源项目的依赖更新中,已观察到从 v1.58.3、v1.71.1、v1.66.0 等多个旧版本紧急升级至修复版本 v1.79.3 的集中行动。更新涉及 `require`(直接依赖)...
Fastify 框架 v5.x 版本中披露了一个关键的安全漏洞,允许攻击者通过一个简单的 HTTP 请求头操作,完全绕过服务器端定义的请求体(body)JSON 模式验证。该漏洞被追踪为 CVE-2026-33806 (GHSA-247c-9743-5963),其核心在于 Fastify 对 `Content-Type` 请求头的解析逻辑存在缺陷。具体而言,当攻击者在 `Content-Type` 头的值(例如 `application/json`)前添加一个空格时,Fastify 的验证中间件会错误地跳过对请求体 JSON 数据的模式(schema)检查。这意味着,即使后端明确定义了严格的数据结构和类型约束,恶意构造的请求仍能携带...