Forwarded from 层叠 - The Cascading
🔴 Tanstack 系列包被骇。
- 约 42 个包的 84 个版本受到影响;Tanstack Query (
- 在 5/11 安装了受影响版本的设备可能也因此被骇。
- 恶意行为包括收集设备上的凭据,以及向设备用户维护的 npm 包加入恶意代码并重新打包发布等。
- 有用户称,恶意软件会在设备上持续运行,如果监测到其收集的 token 被 revoke,则会清空设备家目录。 [2]
tanstack.com/~
1. GHSA-g7cv-rxg3-hmpx
2. gh:TanStack/router#7383
#Tanstack
- 约 42 个包的 84 个版本受到影响;Tanstack Query (
@tanstack/react-query) 未受影响。 [1]- 在 5/11 安装了受影响版本的设备可能也因此被骇。
- 恶意行为包括收集设备上的凭据,以及向设备用户维护的 npm 包加入恶意代码并重新打包发布等。
- 有用户称,恶意软件会在设备上持续运行,如果监测到其收集的 token 被 revoke,则会清空设备家目录。 [2]
tanstack.com/~
1. GHSA-g7cv-rxg3-hmpx
2. gh:TanStack/router#7383
#Tanstack
Tanstack
Postmortem: TanStack npm supply-chain compromise | TanStack Blog
On 2026-05-11, an attacker chained a pull_request_target Pwn Request, GitHub Actions cache poisoning across the fork↔base trust boundary, and OIDC token extraction from runner memory to publish 84 malicious versions across 42 @tanstack/* packages on npm.…
Forwarded from 层叠 - The Cascading
🔴 NGINX http_rewrite 模块漏洞;或会导致堆溢出甚至远程代码执行。
- 漏洞的起因是 nginx 尝试将 escape 过的 URL 写入未 escape 长度的内存。
- 在 ASLR 未被开启的情况下,可以导致远程代码执行。
- 修复已于 1.30.1/1.31.0 发布。
1. https://depthfirst.com/nginx-rift
2. my.f5.com/~
CVE: CVE-2026-42945
CVSS: 9.2 (F5 Networks)
Affect: [0.6.27, 1.30.0]
Fixed-At: 1.30.1, 1.31.0
#nginx
- 漏洞的起因是 nginx 尝试将 escape 过的 URL 写入未 escape 长度的内存。
- 在 ASLR 未被开启的情况下,可以导致远程代码执行。
- 修复已于 1.30.1/1.31.0 发布。
1. https://depthfirst.com/nginx-rift
2. my.f5.com/~
CVE: CVE-2026-42945
CVSS: 9.2 (F5 Networks)
Affect: [0.6.27, 1.30.0]
Fixed-At: 1.30.1, 1.31.0
#nginx
Depthfirst
NGINX Rift
An 18 year old memory corruption flaw in NGINX Plus and NGINX Open Source lets an unauthenticated attacker crash worker processes or execute remote code with crafted HTTP requests.
一款轻量级 #macOS 划词翻译工具,纯 Swift 6 开发,设备端 Apple 翻译保护隐私,安装体积仅 5MB,后台运行内存稳定约 50MB
https://github.com/cosZone/MoePeek
https://github.com/cosZone/MoePeek
GitHub
GitHub - cosZone/MoePeek: A lightweight macOS selection translator built with pure Swift 6, featuring on-device Apple Translate…
A lightweight macOS selection translator built with pure Swift 6, featuring on-device Apple Translate for privacy, only 5MB install size and stable ~50MB memory usage. 一款轻量级 macOS 划词翻译工具,纯 Swift 6 ...