第一篇正式发布的 5 位数 RFC!RFC 编号来到了 5 位数时代。
RFC 10008: The HTTP QUERY Method
TL;DR 就是:GET 请求的 query 在遇到复杂查询的时候很容易撞上服务器的长度限制,部分敏感查询参数也容易暴露在日志。GET 不能包含请求体(虽然有些服务器不会丢弃),而改用 POST 的话语义不对,也不幂等,会影响缓存和重试。于是就把 query 塞进请求体,搞成一个安全的 QUERY 请求。
RFC 10008: The HTTP QUERY Method
TL;DR 就是:GET 请求的 query 在遇到复杂查询的时候很容易撞上服务器的长度限制,部分敏感查询参数也容易暴露在日志。GET 不能包含请求体(虽然有些服务器不会丢弃),而改用 POST 的话语义不对,也不幂等,会影响缓存和重试。于是就把 query 塞进请求体,搞成一个安全的 QUERY 请求。
DeepSeek、长鑫存储及其他公司在去年就已被一个由美国商务部、国防部、能源部和国务院等组成的跨部门委员会批准加入美国商务部实体清单,该委员会已经批准了将某些公司列入清单,而商务部却并未予以公布。
哪吒监控曝严重未授权路径穿越漏洞,一条 GET 请求拿下管理员
哪吒监控(nezha)v2.0.13 以下版本存在一个 CVSS 9.1 的严重漏洞(CVE-2026-53519):dashboard 的 NoRoute 处理器用 strings.HasPrefix 做前缀匹配,攻击者构造 /dashboard../data/config.yaml 即可绕过鉴权读取配置文件,其中明文存储着 HS256 签名用的 jwt_secret_key,拿到密钥后伪造任意用户的 JWT cookie,整个 dashboard 直接沦陷——全程无需登录,两个 HTTP 请求搞定。目前官方已在 v2.0.13 修复,建议立即升级。
来源:Github
哪吒监控(nezha)v2.0.13 以下版本存在一个 CVSS 9.1 的严重漏洞(CVE-2026-53519):dashboard 的 NoRoute 处理器用 strings.HasPrefix 做前缀匹配,攻击者构造 /dashboard../data/config.yaml 即可绕过鉴权读取配置文件,其中明文存储着 HS256 签名用的 jwt_secret_key,拿到密钥后伪造任意用户的 JWT cookie,整个 dashboard 直接沦陷——全程无需登录,两个 HTTP 请求搞定。目前官方已在 v2.0.13 修复,建议立即升级。
来源:Github
GitHub
Pre-auth path traversal via /dashboard.. prefix confusion leaks jwt_secret_key
### Summary
`fallbackToFrontend` in the dashboard's `NoRoute` handler treats any URL whose **raw string** starts with `/dashboard` as an admin-frontend asset request. The check uses `strings.H...
`fallbackToFrontend` in the dashboard's `NoRoute` handler treats any URL whose **raw string** starts with `/dashboard` as an admin-frontend asset request. The check uses `strings.H...
https://www.sixthtone.com/news/1018611
SIXTH TONE
How Emojis Have Become a Language Within a Language in China
Ever since emojis became part of everyday lexicon, the Chinese internet has been rife with wordplay and absurdist substitution. But are they bringing people together, or pushing them further apart?
中国地震台网正式测定:06月15日01时13分在陕西渭南市合阳县(北纬35.22度,东经110.30度)发生4.1级地震,震源深度14千米。
https://weibo.com/1904228041/R493xwulH
https://weibo.com/1904228041/R493xwulH
Introducing the Fusion API, the smartest compound model in the market.
Fusion achieves Fable-level intelligence at half the price.
How it works 👇
https://fixupx.com/OpenRouter/status/2065856853989270011
非常感谢你们的支持呀,非常感谢你们对中转站的支持与信任,感谢你们。 原材料是豆包 以后都会给大家写清楚 介意请勿下单 Claude中转站叫了十几年了 不存在欺诈等行为 都是大家的支持给了中转站热搜的流量 本来就是小本生意 也没有故意存在欺诈宣传 太对不起大家了耽误了大家的宝贵时间 万分抱歉
Anthropic:美国政府发布出口管制指令,暂停所有外国公民访问Fable 5和Mythos 5
https://m.yicai.com/news/103228605.html
https://m.yicai.com/news/103228605.html
日前,合肥工业大学与北京智谱华章科技股份有限公司在北京签署协议,携手培养本、硕、博拔尖创新人才。校企联合培养的智能科学与技术专业大模型创新实验班将于今年首次招生。
https://news.hfut.edu.cn/info/1015/77559.htm
https://news.hfut.edu.cn/info/1015/77559.htm
