看乐了,还好我已经远离 Next.js 了
CVE-2026-44578
CVE-2026-44578
⚠️ Next.js – WebSocket Upgrade SSRF (CVSS 8.6)
A server-side request forgery vulnerability in Next.js allows unauthenticated attackers to force self-hosted instances to make internal HTTP requests via the WebSocket upgrade handler.
By sending a crafted absolute-form HTTP request with Upgrade: websocket headers, attackers can access internal services, cloud metadata endpoints, admin panels, and internal APIs reachable from the Next.js server on port 80. Successful exploitation may expose cloud credentials, API keys, secrets, and configuration data.
Affected: Next.js 13.4.13+, 14.x, 15.x <15.5.16, 16.0.0–16.2.4
Mitigation: Upgrade immediately to 15.5.16 or 16.2.5.
Modat Magnify Query:
technology="Next.js"
The platform:
https://magnify.modat.io/
#threatintel #vulnerability #CVE202644578 #Nextjs #SSRF #WebSocket #CloudSecurity #infosec #Critical #ModatMagnify
最近 CVE 好 热 闹 啊
这次特朗普访华的名单我看了,我们频道没有一个人在里面!那份名单!我翻来覆去看了三遍!我们频道,全军覆没!一个都没有!一个都没有啊!!!希望大家多做些有意义的事情,而不是整天虚度光阴!特朗普来了,你们这些顶尖人才连个边都没摸到?一个个人五人六的,就这能力?就这?我太失望了,真的太失望了!从今天开始,都给我支棱起来!下次再有这种国际级场合,我不要求你们都上名单,但至少,至少!要让所有人知道我们收到了邀请!!!
马化腾:一年前以为上了AI的船,结果漏水了
作为腾讯老登的迷你股东,来四季酒店参加腾讯的股东大会,还是很欣赏管理层踏实的风格。
当初看中的腾讯的稳扎稳打,社交、游戏的护城河,以及注重生态融合与应用落地,最重要的是觉得腾讯的估值已经来到了相当合理的水平。
但是腾讯AI的进展确实差强人意,今天投资者们也是格外关注AI话题,提了很多相关问题,管理层很耐心做了解答,但总感觉底气不足,对AI的应用可能有一些方向,但是尚无特别明确的一些落地计划,甚至内部还在赛马中。马总也坦言:“一年前以为上了AI的船,结果发现漏水了,现在虽然能站稳了但还是坐不下去。AI线路要结合自身优势稳扎稳打,不能乱抢地盘”。所谓自身优势,无非就是游戏和微信了,不知道目前进度如何,未来在微信入口、内容推荐和商业变现会有何进展,也拭目以待了。
另外听管理层的发言,似乎对workbuddy非常肯定,非常看好这个效率智能体。会后看Q1财报,workbuddy是同类工具日活第一,留存率也高。主包只用过openclaw和飞书claw,有用过workbuddy的朋友说说到底好用吗?
另外还有2个彩蛋!一是离开酒店的时候和马总擦身而过,妥妥高富帅、好有气质、看不出是50多岁的人。二是之前听说鹅很抠,股东大会没有伴手礼和茶歇,这次居然还送了个小企鹅~某网友
