旧版nodewarden存在一系列高危漏洞,现已修复,速度更新,时间20260701

pursuer 2026-07-01 18:11 1



前边一看版本v1.6.1,人傻了


看到帖子速度去gh仓库同步一下上游仓库,然后最好再去cf里手动重部署一下


怎么查看nodewarden版本:开个无痕,访问你的部署页面,也就是登录页面,就可以看到啦


最新版1.7.2已经修复相关漏洞,致敬开发者的辛勤维护


^-^

最新回复 (34)
  • 面团 07-01 18:13
    1

    歪日 这不狒狒了 我就是用的nodewarden

  • n0de 07-01 18:14
    2

    看来以后这种关键服务还是自己让AI搓一个最精简的 只满足自己需求的版本最安全

  • pursuer 楼主 07-01 18:15
    3

    @面团 #1 发布于2026/7/1 18:13:25

    歪日 这不狒狒了 我就是用的nodewarden


    @面团 #1 赶紧更新,犹豫就会被入侵,说不定已经阵亡了 ^-^

  • 面团 07-01 18:15
    4

    在弄了

  • 喜羊羊 07-01 18:16
    5

    还是自建的安全

  • mzm 07-01 18:16
    6

    开源项目面对ai毫无还手之力啊

  • 番茄卢本伟 07-01 18:16
    7

    @n0de #2


    ai 搓的更不靠谱 ^-^ 真怕的话直接用官方免费

  • pursuer 楼主 07-01 18:16
    8

    @n0de #2 发布于2026/7/1 18:14:32

    看来以后这种关键服务还是自己让AI搓一个最精简的 只满足自己需求的版本最安全


    @n0de #2 AI搓出来的就怕后边模型一更新,查前边模型写出来的代码又是一堆CVE

  • 番茄卢本伟 07-01 18:16
    9

    话说 nodewarden 和 vaultwarden 是什么关系,二次开发吗

  • 面团 07-01 18:16
    10

    @pursuer #3

    弄好了

  • pursuer 楼主 07-01 18:17
    11

    @面团 #10 发布于2026/7/1 18:16:58

    @pursuer #3

    弄好了


    @面团 #10 回头查查日志和登录设备吧

  • 杜会主乂 07-01 18:18
    12

    吓死;嗯

  • 面团 07-01 18:19
    13

    @pursuer #11 没找到日志和登录设备在哪看

  • samhou 07-01 18:21
    14

    keepass 用户隔岸观火中 ^-^

  • edugo 07-01 18:22
    15

    开启2fa也入侵吗

  • pursuer 楼主 07-01 18:25
    16

    @面团 #13 发布于2026/7/1 18:19:04

    @pursuer #11 没找到日志和登录设备在哪看


    @面团 #13 管理页面里边

  • 精神科主任医师 07-01 18:27
    17

    啊哦.............


  • ztunan 07-01 18:32
    18

    如何确定是否已经中招

  • n0de 07-01 18:48
    19

    @pursuer #8

    这些安全问题基本上都是这些开源项目功能太多/大量使用未经严格安全审计的第三方库导致供给面过大导致的

    自己手搓可以缓解这种问题

    比如说自己个人用的密码管理软件 完全没必要实现前端登录功能,就一个cli 在服务器上跑就行 这几乎不可能被攻击

  • TakeEasy 07-01 18:58
    20

    这种东西就不应该放在公网上

  • Crinkly1867 07-01 19:00
    21

    @n0de #2 不能直接用官方社区版的么还要手搓?

  • xqdoo00o 07-01 19:01
    22

    @pursuer #8

    不用ai吧,有自己vps自建个vaultwarden就行了,放在CF还怕他宕机,这两年CF也宕机不少次了

  • quinnlife 07-01 19:01
    23

    自建vaultwarden 是不是会更安全

  • sukui 07-01 19:15
    24

    @番茄卢本伟 #7 不开源别人看不到代码就很难分析呀,而且没有固定端口很难知道你部署了什么服务

  • egge 07-01 19:16
    25

    1.72

  • north 07-01 19:33
    26

    我去,我所有的密码都在里面

  • n0de 07-01 19:35
    27

    官方社区版能在cf worker上跑吗?

  • davidzhao 07-01 19:36
    28

    @面团 #10


    悲剧了,从原来的1.4.2升级到最新的1.7.2,原来的主账号无法登录了,重新注册账号也不行了,不知道咋搞了。

  • Nyaa 07-01 19:36
    29

    这玩意 我不信的 ^-^

  • 面团 07-01 19:39
    30

    @davidzhao #28 先把密码备份出来 手机app有登录过的话 手机登上去

  • fastoo 07-01 19:41
    31

    这种东西为什么要开放公网访问?

  • 炒土豆丝 07-01 19:43
    32

    老老实实用 vaultwarden

  • potatopuff 07-01 19:44
    33

    比起相对成熟、使用人数更多的 vaultwarden,这种自己搞的项目确实就是更容易出漏洞,或者有漏洞没人报告。还是不要放开公网访问的好 ^-^

  • davidzhao 07-01 20:47
    34

    @面团 #30 发布于2026/7/1 19:39:09

    @davidzhao #28 先把密码备份出来 手机app有登录过的话 手机登上去


    感谢,在cf的build里面把build cache禁用之后,重新触发一次deploy就可以了!

* 帖子来源NodeSeek
返回