NodeWarden很安全的,没必要恐慌,只是日常修复漏洞,早修复了,只是现在才放出来公示

shuai 2026-07-01 19:44 1

这次的漏洞公示主要是一下几个漏洞,用大白话解释一下触发条件:



  1. 图标代理 SVG 与 XSS 漏洞(CWE-79):你需要到人家设置好的有毒的svg的网站保存他的网址,才会生效。

  2. 注册过程中的竞争条件(CWE-362):你刚部署完,注册的同一时刻别人也注册了,就会生成两个账户,你在用户管理能看到,而且每个人的账户但是独立的,他又看不到你的密码。

  3. 通过文件发送方式导致的存储式 XSS 攻击(CWE-79):你得打开别人在你的示例中用他的账号创建的附件地址,你点进去才会有危险。

  4. 缺乏执行敏感操作的授权(CWE-862):要先登录你的账号。

  5. 未经授权的 TOTP 篡改行为:要先登录你的账号。


总之没必要恐慌,现在的NodeWarden基本上已经开发完毕了,功能也齐全了,更新最新版本后能用很久。

最新回复 (10)
  • smagic 07-01 19:48
    1

    佬好厉害哇 ^-^ ^-^ ^-^

  • deepai 07-01 19:50
    2

    支持大佬,nodewarden超好用

  • rubia 07-01 19:55
    3

    ^-^

  • Starrapids 07-01 19:56
    4

    好用,爱用

  • isyv 07-01 19:56
    5

    “出发”条件 ^-^

  • 木一 07-01 19:59
    6

    这个真的很好用。。。而且很安心,还要bitwarden那边别出幺蛾子

  • mao3711 07-01 20:00
    7

    在用,很好用

  • Davi 07-01 20:14
    8

    ^-^ ^-^

  • hbsx 07-01 20:16
    9

    一直在用,很稳定

  • lehuoyisheng 07-01 20:59
    10

    厉害啊

* 帖子来源NodeSeek
返回