Shai-Hulud:npm 供应链投毒攻击;建议订户检查自己的设备/repo 是否有受到影响。
- 超过 1000 个包被投毒虚假的 Bun 安装器。
- 攻击行为包括创建名为 SHA1HULUD 的 GitHub Action runner 和建立 actionsSecrets.json 文件存储密钥等。
https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24
#Sha1Hulud #npm #Ecocystem
- 超过 1000 个包被投毒虚假的 Bun 安装器。
- 攻击行为包括创建名为 SHA1HULUD 的 GitHub Action runner 和建立 actionsSecrets.json 文件存储密钥等。
https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24
#Sha1Hulud #npm #Ecocystem
❤7🤨1
层叠 - The Cascading
CA/B Forum 投票通过 SC-081v3。新提案的内容之一是将公共 TLS 证书有效期缩短到 47 天。 根据提案,在 2026、2027 和 2029 年的 3 月 15 日,证书的最长有效期将被缩短到 200 天、100 天和 47 天。 [1] groups.google.com/~ 1. github.com/~ thread: /4610 linksrc: https://t.me/bupt_moe/2403 #CABForum #PKI
Let's Encrypt 宣布证书有效期缩短到 45 天的计划。
- Let's Encrypt 用户可在 2026/5/13 起切换到签发有效期 45 天证书的 profile “tlsserver”。
- 2027/2/10 起,Let's Encrypt 默认签发证书有效期将从 90 天降至 64 天;2028/2/16 起降至 45 天。
- CA/B Forum 正研究 dns-persist-01 验证方式,使证书更新不再需要修改 DNS 记录;预计 2026 年可供使用。
https://letsencrypt.org/2025/12/02/from-90-to-45.html
thread: /4701
#CABForum #PKI #LetsEncrypt
- Let's Encrypt 用户可在 2026/5/13 起切换到签发有效期 45 天证书的 profile “tlsserver”。
- 2027/2/10 起,Let's Encrypt 默认签发证书有效期将从 90 天降至 64 天;2028/2/16 起降至 45 天。
- CA/B Forum 正研究 dns-persist-01 验证方式,使证书更新不再需要修改 DNS 记录;预计 2026 年可供使用。
https://letsencrypt.org/2025/12/02/from-90-to-45.html
thread: /4701
#CABForum #PKI #LetsEncrypt
letsencrypt.org
Decreasing Certificate Lifetimes to 45 Days
Let’s Encrypt will be reducing the validity period of the certificates we issue. We currently issue certificates valid for 90 days, which will be cut in half to 45 days by 2028.
This change is being made along with the rest of the industry, as required by…
This change is being made along with the rest of the industry, as required by…
👎31🤔17👍10❤1
ShadyPanda:Koi 研究者发现影响超 400 万用户的多个恶意插件;其中一部分包含 RCE 后门。
- 文章中主要提到了 Clean Master 插件。这款插件会收集用户页面访问历史和用户 cookie,甚至在用户设备上执行远程代码等。 [1]
- 其中提及的插件 We Tab 的开发者声明称,Clean Master 的恶意行为是出售给第三方后出现的情况;其它插件没有信息收集等行为。 [2]
- Google 和 Microsoft 均已确认这些插件已经下架。 [3]
1. koi.ai/~
2. mp.weixin.qq.com/~
3. theregister.com/~
[感谢一位匿名订户提供此消息。]
#Extension #Security
- 文章中主要提到了 Clean Master 插件。这款插件会收集用户页面访问历史和用户 cookie,甚至在用户设备上执行远程代码等。 [1]
- 其中提及的插件 We Tab 的开发者声明称,Clean Master 的恶意行为是出售给第三方后出现的情况;其它插件没有信息收集等行为。 [2]
- Google 和 Microsoft 均已确认这些插件已经下架。 [3]
1. koi.ai/~
2. mp.weixin.qq.com/~
3. theregister.com/~
[感谢一位匿名订户提供此消息。]
#Extension #Security
www.koi.ai
4.3 Million Browsers Infected: Inside ShadyPanda's 7-Year Malware Campaign
ShadyPanda’s seven-year campaign infected 4.3 million browsers, spreading malware undetected and endangering user security worldwide.
#PSA: React RSC 的 RCE 漏洞,影响 Next.js 等,受影响用户请立即更新。
- 受影响版本包括 React 19.0/19.1.0/19.1.1/19.2.0 及 Next.js 15-16(以及个别 14 canary 版本)。 [1][2]
- 受影响用户请更新至 React 19.0.1/19.1.2/19.2.1 及 Next.js 15.0.5/15.1.9/15.2.6/15.3.6/15.4.8/15.5.7/16.0.7。
- React Server DOM 的反序列化逻辑存在问题,可能导致远程代码执行 (RCE) 漏洞。
- Cloudflare WAF 已部署修复并默认启用。 [3]
- 应用程序如果只在客户端使用 React 而不涉及服务端 React,则不受影响。
- react-router 或 waku 等库的用户可能也会受到影响。用户可以检查应用程序是否使用了 react-server-dom-{webpack,parcel,turbopack} 包。
CVE: CVE-2025-55182 (React), CVE-2025-66478 (Next.js)
CVSS: 10.0/10 (Critical)
1. react.dev/~
2. GHSA-9qr9-h5gf-34mp
3. blog.cloudflare.com/~
#React #Nextjs
- 受影响版本包括 React 19.0/19.1.0/19.1.1/19.2.0 及 Next.js 15-16(以及个别 14 canary 版本)。 [1][2]
- 受影响用户请更新至 React 19.0.1/19.1.2/19.2.1 及 Next.js 15.0.5/15.1.9/15.2.6/15.3.6/15.4.8/15.5.7/16.0.7。
- React Server DOM 的反序列化逻辑存在问题,可能导致远程代码执行 (RCE) 漏洞。
- Cloudflare WAF 已部署修复并默认启用。 [3]
- 应用程序如果只在客户端使用 React 而不涉及服务端 React,则不受影响。
- react-router 或 waku 等库的用户可能也会受到影响。用户可以检查应用程序是否使用了 react-server-dom-{webpack,parcel,turbopack} 包。
CVE: CVE-2025-55182 (React), CVE-2025-66478 (Next.js)
CVSS: 10.0/10 (Critical)
1. react.dev/~
2. GHSA-9qr9-h5gf-34mp
3. blog.cloudflare.com/~
#React #Nextjs
react.dev
Critical Security Vulnerability in React Server Components – React
The library for web and native user interfaces
🔥15❤1
Cloudflare 又发布 postmortem:规则更新导致触发 WAF 的 bug。
- 宕机发生于 12/5 下午四点左右 (UTC+8),约半小时后修复。
- 这是 Cloudflare 继 11/18 日后一个月内的第二次全球性宕机。
- 文章称这是 Cloudflare 配置针对 React 高危漏洞的 WAF 规则时产生的问题。
blog.cloudflare.com/~
EDIT 12/6: 修正一处 typo。
#Outage #Cloudflare
- 宕机发生于 12/5 下午四点左右 (UTC+8),约半小时后修复。
- 这是 Cloudflare 继 11/18 日后一个月内的第二次全球性宕机。
- 文章称这是 Cloudflare 配置针对 React 高危漏洞的 WAF 规则时产生的问题。
blog.cloudflare.com/~
EDIT 12/6: 修正一处 typo。
#Outage #Cloudflare
The Cloudflare Blog
Cloudflare outage on December 5, 2025
Cloudflare experienced a significant traffic outage on December 5, 2025, starting approximately at 8:47 UTC. The incident lasted approximately 25 minutes before resolution. We are sorry for the impact that it caused to our customers and the Internet. The…
🔥12🎉1
层叠 - The Cascading
#PSA: React RSC 的 RCE 漏洞,影响 Next.js 等,受影响用户请立即更新。 - 受影响版本包括 React 19.0/19.1.0/19.1.1/19.2.0 及 Next.js 15-16(以及个别 14 canary 版本)。 [1][2] - 受影响用户请更新至 React 19.0.1/19.1.2/19.2.1 及 Next.js 15.0.5/15.1.9/15.2.6/15.3.6/15.4.8/15.5.7/16.0.7。 - React Server DOM 的…
#PSA: 一些新的 RSC DoS/源码泄露漏洞;请尽快更新。
- 如果上周已经就之前的 RCE 漏洞对 React 等组件进行了更新,本周依旧需要继续更新。
- 如果就此漏洞更新到了 React 19.0.2/19.1.3/19.2.2,也依旧需要继续更新,因为这些版本的修复不完整。
- 请参考 [2] 了解需要更新到的版本。
- 漏洞是 React Server Side Components 相关;拒绝式服务攻击,以及服务端(服务端!)组件源码泄露。
- 与之前的漏洞不同,Next.js 13.3 至 14(含 13.3 及 14.x)也受此漏洞影响。
- react-router、waku 和几个其它 RSC 组件也受此漏洞影响。
CVE: CVE-2025-55184, CVE-2025-67779, CVE-2025-55183
CVSS: 最高者为 7.5
1. react.dev/~
2. react.dev/~
thread: /4791
#React #Nextjs
- 如果上周已经就之前的 RCE 漏洞对 React 等组件进行了更新,本周依旧需要继续更新。
- 如果就此漏洞更新到了 React 19.0.2/19.1.3/19.2.2,也依旧需要继续更新,因为这些版本的修复不完整。
- 请参考 [2] 了解需要更新到的版本。
- 漏洞是 React Server Side Components 相关;拒绝式服务攻击,以及服务端(服务端!)组件源码泄露。
- 与之前的漏洞不同,Next.js 13.3 至 14(含 13.3 及 14.x)也受此漏洞影响。
- react-router、waku 和几个其它 RSC 组件也受此漏洞影响。
CVE: CVE-2025-55184, CVE-2025-67779, CVE-2025-55183
CVSS: 最高者为 7.5
1. react.dev/~
2. react.dev/~
thread: /4791
#React #Nextjs
react.dev
Denial of Service and Source Code Exposure in React Server Components – React
The library for web and native user interfaces
🔥14🐳4🎉1
Linux 基金会宣布建立 Agentic AI 基金会。
- 基金会在本周二宣布了此消息。Agentic AI 基金会 (AAIF) 以中立、开放为要旨,使 Agent AI 以透明、协作的方式发展。
- AAIF [2] 的铂金级成员包括 AWS、Anthropic、Cloudflare、Google、Microsoft、OpenAI 等。
- MCP 协议和 AGENTS.md 等项目被捐赠给基金会。
1. linuxfoundation.org/~
2. https://aaif.io
#GenAI
- 基金会在本周二宣布了此消息。Agentic AI 基金会 (AAIF) 以中立、开放为要旨,使 Agent AI 以透明、协作的方式发展。
- AAIF [2] 的铂金级成员包括 AWS、Anthropic、Cloudflare、Google、Microsoft、OpenAI 等。
- MCP 协议和 AGENTS.md 等项目被捐赠给基金会。
1. linuxfoundation.org/~
2. https://aaif.io
#GenAI
Agentic AI Foundation (AAIF)
Agentic AI Foundation (AAIF) is the neutral and open foundation built on transparency, collaboration, and standardization to advance the public interest in agentic AI innovation.
👍14❤3👎3
Anna's Archive 宣布其 Spotify 归档细节。
- Anna‘s Archive 爬取并归档了截至 2025/7 的 Spotify 数据。
- 数据包括 2.5 亿曲目的元数据及占据 99.6% 收听数的 8600 万首曲目,大小约为 300TB。
- 元数据已发布 [1],大小约 200GB。
- 分析发现平台上约 70% 的曲目播放数少于 1000。
https://annas-archive.li/blog/backing-up-spotify.html
1. https://annas-archive.li/torrents/spotify
seealso: HackerNews:46338339
#AnnasArchive #Spotify
- Anna‘s Archive 爬取并归档了截至 2025/7 的 Spotify 数据。
- 数据包括 2.5 亿曲目的元数据及占据 99.6% 收听数的 8600 万首曲目,大小约为 300TB。
- 元数据已发布 [1],大小约 200GB。
- 分析发现平台上约 70% 的曲目播放数少于 1000。
https://annas-archive.li/blog/backing-up-spotify.html
1. https://annas-archive.li/torrents/spotify
seealso: HackerNews:46338339
#AnnasArchive #Spotify
annas-archive.li
Backing up Spotify
We backed up Spotify (metadata and music files). It’s distributed in bulk torrents (~300TB). It’s the world’s first “preservation archive” for music which is fully open (meaning it can easily be mirrored by anyone with enough disk space), with 86 million…
👍32🤔8❤3