This page collects WhisperX intelligence signals tagged #security vulnerability. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
在雷电服务器部件中已经发现一个关键的远程代码执行弱点,使未经认证的攻击者能够在服务器上实施任意编码。 其缺陷源于React Flight规程中不安全的消毒,直接影响到Lext.js等主要框架。 这不是理论上的风险;脆弱性是在一个现场项目中发现的,强调其可立即利用性。 目前正在进行自动补丁工作,但基本威胁需要所有受影响的发展小组紧急人工审查和补救。 安全咨询现已公开,该问题已正式列入CVE-2025-55182(反应)和CVe-2025-66478(下js)。 Vercel公司已提出自动拉动请求,将易受损包升级为贴合版本,但明确警告说这一自动化修补办法可能不够全面并可能有错误。 核心危险在于脆弱性的路径:它允许恶意行为者完全绕过认证,...
在反应服务器部件中已查明了关键的远程代码执行脆弱性,对Lext.js等主要网络框架构成直接威胁。 这种缺陷源于React飞行协议中不安全的消毒,使未经认证的袭击者得以在服务器上执行任意代码。 这不是理论上的风险;脆弱性是在一个名为`baglamukhi-mandir ' 的现场项目中发现的,表明其可立即加以利用。 安全问题在多个咨询意见下正式跟踪:GitHub安全咨询公司 GISA-9qr9-h5gf-34mp、React's CVE-2025-55182和Next.js的CVE2025-66478。 Vercel已启动自动补丁工作,提出拉动请求,升级受影响的反应和下js软件包,以保障版本的安全。 但是,该公司明确警告说,不能保证其...
在GRPC-Go案中确认了一项关键的授权绕行脆弱性,允许未经授权获得受保护服务。 缺陷被指定为CVE-2026-33186,其原因是HTTP/2`path'伪信头的输入验证不当。 具体地说,GRPC-Go服务器错误地提出了要求,其中省略了路径上的强制性领先斜线(例如`服务/方法 ' 而不是`/服务/方式 ' )。 虽然路由成功,但服务器的授权逻辑灾难性地失败了:安全拦截器(包括官方的`grpc/authz' 套件)对原非卡通路径字符串进行了评估。 这种不匹配意味着,以正确的卡尼科路径(从`/'开始)界定的“拒绝”规则不会触发,如果存在后备“允许”规则,则允许请求继续处理。 这种脆弱性直接影响到使用基于路径的授权拦截器的任何GRPC-...