雷池 WAF 9.1.0 版本更新公告
雷池 - 小小
更新于 2 天前
2
3
雷池 WAF 9.2.7 版本更新公告
雷池-洋仔
更新于 4 天前
参考文档 更新雷池
/data/safeline/resources/nginx/custom_params/backend_idproxy_ssl_server_name on;proxy_ssl_name $host;
/data/safeline/resources/nginx/custom_params/backend_id
2
6
源 IP 获取方式为PROXY_Protocol时,有拦截,但攻击事件、日志模块始终为空
Posi0n
更新于 2 天前
PROXY_Protocol情况有拦截,但是搜不到相关的日志
但是测试的从网络中获得的,就正常有日志
github上有相似的问题,https://github.com/chaitin/SafeLine/issues/1223
1
6
关于 React Server Components 远程代码执行漏洞(CVE-2025-55182) 防护
雷池-洋仔
更新于 3 天前
近期,React Server Components (RSC) 被曝存在高危远程代码执行漏洞 (CVE-2025-55182)。攻击者可通过恶意构造的序列化数据(Flight 协议),利用 Next.js Server Actions 等功能触发反序列化漏洞,进而控制服务器。
该漏洞主要影响使用了 React Server Components (RSC) 及 Server Actions 功能的应用,常见于 Next.js 框架中。
1. 如何判断是否受影响?
"use server" 指令(Server Actions)?注意: 漏洞组件 react-server-dom-webpack 通常被打包在 Next.js 内部,您可能无法在 package.json 中直接看到它 。
2. 升级建议
建议您立即将 Next.js 升级至官方发布的最新安全版本(如 Next.js 14.x 或 15.x 的修复版本),React 官方已在最新版本中修复了对恶意 "Thenable" 对象的解析逻辑。
multipart['"]?then['"]?\s*:\s*['"]?$1:proto:then1
1
雷池 WAF 9.3.0 版本更新公告
雷池-洋仔
更新于 3 天前
参考文档 更新雷池
在此版本中,我们重点增强了对特定框架漏洞、NoSQL 注入以及部分协议的支持,扩展了检测覆盖面。
JeecgBoot v3.5.1 SQL注入漏洞JeecgBoot v3.5.4 SQL注入漏洞ThinkPHP5 远程代码执行漏洞-pathThinkPHP Debug模式日志信息泄露漏洞Vite 任意文件读取漏洞 (CVE-2025-30208)Vite 任意文件读取漏洞 (CVE-2025-31125)MongoDB NoSQL 注入-query 检测MongoDB NoSQL 注入-form 检测MongoDB NoSQL 注入-json key 检测Gitlab 任意文件读取漏洞 (CVE-2020-10977)Pulse Secure SSL VPN 命令注入漏洞 (CVE-2019-11539)Raspap 命令注入漏洞 (CVE-2022-39986)多款 TP-Link 产品操作系统命令注入漏洞 (CVE-2020-12109)Shiro 权限绕过 检测file 协议调用 检测支持SQL 内置函数 识别与检测对检测引擎进行深度优化,提升了对各类注入攻击和异常流量的识别准确率。
针对已有的检测规则进行了微调和增强,以减少误报并提高针对特定 CVE 的检出率。
Spring 框架漏洞 检测规则[HW2020] Spring Data Rest RCE (CVE-2017-8046) 检测规则Jeecg-boot v2.1.2-v3.0.0 后台未授权 SQL 注入漏洞 检测规则XStream 反序列化漏洞 检测规则Java 代码注入 检测规则可疑远程调用协议 及 jdbc 协议调用 检测规则深层路径穿越攻击 检测规则XML 实体注入漏洞 (UTF-7) 检测规则LDAP 注入 检测规则MongoDB NoSQL 注入 相关规则(query/form/json key)访问敏感文件的请求 检测规则低危的命令执行 检测规则多款路由器命令操作系统命令注入漏洞 (CVE-2019-3929) 检测规则1
1
我们开源了一款 AI 驱动的 Wiki 知识库
张华杰
更新于 7 个月前
大家好,经过一个月的内测,我们昨天刚刚开源了一款 AI 驱动的 Wiki 项目,叫做 PandaWiki。
GitHub 链接:https://github.com/chaitin/PandaWiki
PandaWiki 是一款 AI 大模型驱动的开源知识库搭建系统,帮助你快速构建智能化的 产品文档、技术文档、FAQ、博客系统,借助大模型的力量为你提供 AI 创作、AI 问答、AI 搜索 等能力。
PandaWiki 除了是一款 Wiki 程序,一款 AI 知识库以外,还有一些独属于自己的特色能力:
AI 驱动智能化:AI 辅助创作、AI 辅助问答、AI 辅助搜索。
强大的富文本编辑能力:兼容 Markdown 和 HTML,支持导出为 word、pdf、markdown 等多种格式。
轻松与第三方应用进行集成:支持做成网页挂件挂在其他网站上,支持做成钉钉、飞书、企业微信等聊天机器人。
通过第三方来源导入内容:根据网页 URL 导入、通过网站 Sitemap 导入、通过 RSS 订阅、通过离线文件导入等。
PandaWiki 自己的帮助文档就是基于 PandaWiki 自己来构建的,如图:
安装 PandaWiki 需要依赖 Docker,如果你的服务器已经安装了 Docker,那么可以执行以下命令来安装 PandaWiki。
1bash -c "$(curl -fsSLk https://release.baizhi.cloud/panda-wiki/manager.sh)"
命令执行完成后,在终端里会输出 PandaWiki 管理面板的登录方式。
首次登录后,系统会提示你需要先接入 AI 模型才能使用。
根据界面提示依次接入 “Chat 模型”、“Embedding 模型”、“Reranker 模型”。
我们担心大家手头找不到可用的 AI 模型,特意在长亭百智云(https://baizhi.cloud/)模型广场里放了一些模型,注册就能获得免费使用额度,推荐大家直接接入使用。
一切准备就绪后,现在可以开始使用你的 PandaWiki 了。
使用 PandaWiki 创建智能 Wiki 站只需要三步:
创建一个知识库
在知识库里添加文档进去
于是,你就获得了一个智能化的 Wiki 网站
我们创建了一个叫做 “PandaWiki 品三国” 的知识库,录了一份 《三国演义》小说进去,效果如下:
觉得 PandaWiki 还不错的家人们,辛苦大家伸出援手为我们的 GitHub 仓库点上一个小小的 star。
GitHub 链接:https://github.com/chaitin/PandaWiki
同时也欢迎你扫描下方二维码加入 PandaWiki 的技术交流群和其他使用者一起讨论。
2
1
当前 IP
雷池 WAF 9.1.0 版本更新公告
雷池 - 小小
更新于 2 天前
2
3
雷池 WAF 9.2.7 版本更新公告
雷池-洋仔
更新于 4 天前
参考文档 更新雷池
/data/safeline/resources/nginx/custom_params/backend_idproxy_ssl_server_name on;proxy_ssl_name $host;/data/safeline/resources/nginx/custom_params/backend_id2
6
源 IP 获取方式为PROXY_Protocol时,有拦截,但攻击事件、日志模块始终为空
Posi0n
更新于 2 天前
PROXY_Protocol情况有拦截,但是搜不到相关的日志
但是测试的从网络中获得的,就正常有日志
github上有相似的问题,https://github.com/chaitin/SafeLine/issues/1223
1
6
关于 React Server Components 远程代码执行漏洞(CVE-2025-55182) 防护
雷池-洋仔
更新于 3 天前
近期,React Server Components (RSC) 被曝存在高危远程代码执行漏洞 (CVE-2025-55182)。攻击者可通过恶意构造的序列化数据(Flight 协议),利用 Next.js Server Actions 等功能触发反序列化漏洞,进而控制服务器。
该漏洞主要影响使用了 React Server Components (RSC) 及 Server Actions 功能的应用,常见于 Next.js 框架中。
1. 如何判断是否受影响?
"use server" 指令(Server Actions)?注意: 漏洞组件 react-server-dom-webpack 通常被打包在 Next.js 内部,您可能无法在 package.json 中直接看到它 。
2. 升级建议
建议您立即将 Next.js 升级至官方发布的最新安全版本(如 Next.js 14.x 或 15.x 的修复版本),React 官方已在最新版本中修复了对恶意 "Thenable" 对象的解析逻辑。
multipart['"]?then['"]?\s*:\s*['"]?$1:proto:then1
1
雷池 WAF 9.3.0 版本更新公告
雷池-洋仔
更新于 3 天前
参考文档 更新雷池
在此版本中,我们重点增强了对特定框架漏洞、NoSQL 注入以及部分协议的支持,扩展了检测覆盖面。
JeecgBoot v3.5.1 SQL注入漏洞JeecgBoot v3.5.4 SQL注入漏洞ThinkPHP5 远程代码执行漏洞-pathThinkPHP Debug模式日志信息泄露漏洞Vite 任意文件读取漏洞 (CVE-2025-30208)Vite 任意文件读取漏洞 (CVE-2025-31125)MongoDB NoSQL 注入-query 检测MongoDB NoSQL 注入-form 检测MongoDB NoSQL 注入-json key 检测Gitlab 任意文件读取漏洞 (CVE-2020-10977)Pulse Secure SSL VPN 命令注入漏洞 (CVE-2019-11539)Raspap 命令注入漏洞 (CVE-2022-39986)多款 TP-Link 产品操作系统命令注入漏洞 (CVE-2020-12109)Shiro 权限绕过 检测file 协议调用 检测支持SQL 内置函数 识别与检测对检测引擎进行深度优化,提升了对各类注入攻击和异常流量的识别准确率。
针对已有的检测规则进行了微调和增强,以减少误报并提高针对特定 CVE 的检出率。
Spring 框架漏洞 检测规则[HW2020] Spring Data Rest RCE (CVE-2017-8046) 检测规则Jeecg-boot v2.1.2-v3.0.0 后台未授权 SQL 注入漏洞 检测规则XStream 反序列化漏洞 检测规则Java 代码注入 检测规则可疑远程调用协议 及 jdbc 协议调用 检测规则深层路径穿越攻击 检测规则XML 实体注入漏洞 (UTF-7) 检测规则LDAP 注入 检测规则MongoDB NoSQL 注入 相关规则(query/form/json key)访问敏感文件的请求 检测规则低危的命令执行 检测规则多款路由器命令操作系统命令注入漏洞 (CVE-2019-3929) 检测规则1
1
我们开源了一款 AI 驱动的 Wiki 知识库
张华杰
更新于 7 个月前
大家好,经过一个月的内测,我们昨天刚刚开源了一款 AI 驱动的 Wiki 项目,叫做 PandaWiki。
GitHub 链接:https://github.com/chaitin/PandaWiki
PandaWiki 是一款 AI 大模型驱动的开源知识库搭建系统,帮助你快速构建智能化的 产品文档、技术文档、FAQ、博客系统,借助大模型的力量为你提供 AI 创作、AI 问答、AI 搜索 等能力。
PandaWiki 除了是一款 Wiki 程序,一款 AI 知识库以外,还有一些独属于自己的特色能力:
AI 驱动智能化:AI 辅助创作、AI 辅助问答、AI 辅助搜索。
强大的富文本编辑能力:兼容 Markdown 和 HTML,支持导出为 word、pdf、markdown 等多种格式。
轻松与第三方应用进行集成:支持做成网页挂件挂在其他网站上,支持做成钉钉、飞书、企业微信等聊天机器人。
通过第三方来源导入内容:根据网页 URL 导入、通过网站 Sitemap 导入、通过 RSS 订阅、通过离线文件导入等。
PandaWiki 自己的帮助文档就是基于 PandaWiki 自己来构建的,如图:
安装 PandaWiki 需要依赖 Docker,如果你的服务器已经安装了 Docker,那么可以执行以下命令来安装 PandaWiki。
1bash -c "$(curl -fsSLk https://release.baizhi.cloud/panda-wiki/manager.sh)"
命令执行完成后,在终端里会输出 PandaWiki 管理面板的登录方式。
首次登录后,系统会提示你需要先接入 AI 模型才能使用。
根据界面提示依次接入 “Chat 模型”、“Embedding 模型”、“Reranker 模型”。
我们担心大家手头找不到可用的 AI 模型,特意在长亭百智云(https://baizhi.cloud/)模型广场里放了一些模型,注册就能获得免费使用额度,推荐大家直接接入使用。
一切准备就绪后,现在可以开始使用你的 PandaWiki 了。
使用 PandaWiki 创建智能 Wiki 站只需要三步:
创建一个知识库
在知识库里添加文档进去
于是,你就获得了一个智能化的 Wiki 网站
我们创建了一个叫做 “PandaWiki 品三国” 的知识库,录了一份 《三国演义》小说进去,效果如下:
觉得 PandaWiki 还不错的家人们,辛苦大家伸出援手为我们的 GitHub 仓库点上一个小小的 star。
GitHub 链接:https://github.com/chaitin/PandaWiki
同时也欢迎你扫描下方二维码加入 PandaWiki 的技术交流群和其他使用者一起讨论。
2
1