OKHK 👀
✨ Thinking ❤️
-
- 重要/漏洞:aaPanel(宝塔面板)数据库权限查询逻辑存在 SQL 注入漏洞
漏洞编号:CVE-2025-12914
重要等级:需要注意的(中危)
CVSS 分数:4.7(CVSS v3.1) / 5.1(CVSS v4.0)
影响范围:
面板版本:≤ 11.2.x
漏洞原理: 该漏洞出现在受影响的宝塔面板版本的 数据库权限查询逻辑 中,在处理
/database?action=GetDatabaseAccess 接口时,对参数 Name 的校验不足:
旧代码通过 字符串拼接 构造 SQL:users = mysql_obj.query(
"select Host from mysql.user where User='" + name + "' AND Host!='localhost'"
)
攻击者在满足一定权限(或 API AccessKey)的前提下,如果能控制 name,即可通过构造特殊输入触发 SQL 注入。
注意: 宝塔官方解释此漏洞 不能被未授权的远程用户直接利用,必须先拿到 宝塔后台管理员账号或面板 API AccessKey,才能进一步利用。
实际上该漏洞属于“高权限条件下进一步放大风险”的漏洞,而不是“扫到就 RCE/沦陷”那种高危漏洞。目前公开信息显示,相关利用细节已被安全社区披露,NVD 条目中也明确该漏洞已对外公开并可被利用。
受影响组件:宝塔面板(aaPanel / BaoTa Panel)Backend 模块
具体接口:/database?action=GetDatabaseAccess
受影响参数:Name
处置建议:
面板统一升级到 11.3.0 或更新版本。如暂时无法升级,可采取:限制面板访问来源 IP
启用双因素认证
检查面板 API 与 MySQL 日志
参考资料: NVD -
- 《咬文嚼字》编辑部发布“2025 年十大流行语”
「韧性」、「具身智能」、「苏超」、「赛博对账」、「数字游民」、「谷子」、「预制 XX」、「活人感」、「××基础,××不基础」、「从从容容、游刃有余,匆匆忙忙、连滚带爬」
▎SourceTelegraph《咬文嚼字》编辑部发布“2025年十大流行语”一、韧性 - Let's Encrypt 宣布证书有效期缩短到 45 天的计划。
- Let's Encrypt 用户可在 2026/5/13 起切换到签发有效期 45 天证书的 profile “tlsserver”。
- 2027/2/10 起,Let's Encrypt 默认签发证书有效期将从 90 天降至 64 天;2028/2/16 起降至 45 天。
- CA/B Forum 正研究 dns-persist-01 验证方式,使证书更新不再需要修改 DNS 记录;预计 2026 年可供使用。
https://letsencrypt.org/2025/12/02/from-90-to-45.html
thread: /4701
#CABForum #PKI #LetsEncryptletsencrypt.orgDecreasing Certificate Lifetimes to 45 DaysLet’s Encrypt will be reducing the validity period of the certificates we issue. We currently issue certificates valid for 90 days, which will be cut in half to 45 days by 2028.
This change is being made along with the rest of the industry, as required by… -
- Glucose Buddy - 糖小助(血糖监控管理)
https://github.com/flyhunterl/glucose-buddy
一个基于 Nightscout 的智能血糖监控系统,提供血糖数据可视化、AI 智能分析、血糖预测、治疗方案管理和风险预警功能。
#AI #Tool #GitHubGitHubGitHub - flyhunterl/glucose-buddyContribute to flyhunterl/glucose-buddy development by creating an account on GitHub. - SMS - 短信清理工具
https://github.com/davidche1116/Sms
短信清理是 Flutter 框架编写的在 Android 上读取、批量删除短信的短信清理工具。
● 获取短信权限
● 复制短信到剪切板
● 设置 / 恢复默认短信应用
● 关键字过滤短信信息
● 同号码短信搜索
● 从搜索结果移除 / 直接删除短信
● 一键批量删除查询结果短信
● 一键导出所有短信到 csv 文件
#Android #Tool #GitHubGitHub
GitHub - davidche1116/Sms: 短信清理工具短信清理工具. Contribute to davidche1116/Sms development by creating an account on GitHub. -
- Anna’s Archive 359TB 世界最大中文图书馆发布,史上最全的中文电子书数据集 | 原文TelegraphAnna’s Archive 359TB 世界最大中文图书馆发布,史上最全的中文电子书数据集全球知名影子图书馆 Anna's Archive(安娜的档案)在其博客发文宣布:在经历了长达两年的努力后,其中文文献数据库的整理与发布工作已全部完成!它将大量珍贵的中文数字藏品整合进来,让更多人能免费访问到这些学术和文化瑰宝。 Anna's Archive(安娜的档案)一直致力于构建一个开放的影子图书馆,保存全球的知识资源。这次的中文发布是该项目的一个重要分支,涵盖了从古籍到现代学术书籍的多个子集。整个过程由一群热心的志愿者主导,他们克服了海量书库的爬取、解密和元数据处理的各种挑战。从扫描的学术书籍到加…
-
- 一觉醒来发生了什么 12 月 02 日
2025 年 12 月 2 日
🌍 资讯快读
1、香港:已向大部分居民派发 1 万港元补助金,本周将向每户发 5 万港元津贴
https://www.thepaper.cn/newsDetail_forward_32076352
2、中国公民即日起至 2026 年 9 月 14 日可免签前往俄罗斯
https://www.jiemian.com/article/13704364.html
3、滴滴自动驾驶在广州试运行全天候、全无人 Robotaxi 服务
https://www.jiemian.com/article/13706172.html
4、豆包也要做手机了,AI 的“入口”之争,手机仍是终极战场
https://www.pingwest.com/a/309495
👬 即刻镇小报
1、因为这种相信,他成为 Tim,因为相信,所以看见。
https://m.okjike.com/originalPosts/6929d9d9eb5cc8a47efd0aa3
2、Notion Agent 全面解读
https://m.okjike.com/originalPosts/692c4335e3000e2bb805e9b9
3、人这一生,应该如何面对痛苦。
https://m.okjike.com/originalPosts/692beb56e7c82990f3ebe473
4、大雪后的蓝调时刻
https://m.okjike.com/originalPosts/692b97b23a05f021048a3cd9
今日即刻镇小报内容来自 @Gary. @二一的笔记 @西里森森 @Louisie ,感谢以上即友的创作与分享。www.thepaper.cn香港:已向大部分居民派发1万港元补助金,本周将向每户发5万港元津贴_港台来信_澎湃新闻-The Paper香港特区政府正为大埔宏福苑五级火警受影响居民提供支援。特区政府民政及青年事务局副局长梁宏正今日(12月1日)表示,首要目标是安顿居民,提供短期或长期免租住宿,同 - #Bing_Wallpaper
一景胜千言
柳树湖与布莱克本山, 兰格尔-圣伊利亚斯国家公园暨保护区, 阿拉斯加州, 美国 (© Patrick J. Endres/Getty Images)
4K | 1080P -
Safari 网页浏览解锁 120hz 帧率
系统设置- Safari - 高级(最底部) - 功能开关 - 关闭选项 Prefer Page Rendering Updates near 60fps(默认开启,把它关掉)
26.1 测试有效 
17.0 测试无效似乎是iOS 18.0 引入的功能,以下版本不生效
120hz 测试网页
来源 -
- DeepSeek V3.2,个人体感上比 Gemini 3 Pro 差点
https://fxtwitter.com/deepseek_ai/status/1995452641430651132🧵 Thread • FxTwitter
DeepSeek (@deepseek_ai)🚀 Launching DeepSeek-V3.2 & DeepSeek-V3.2-Speciale — Reasoning-first models built for agents!
🔹 DeepSeek-V3.2: Official successor to V3.2-Exp. Now live on App, Web & API.
🔹 DeepSeek-V3.2-Speciale: Pushing the boundaries of reasoning capabilities. API-only… - 港府12月1日16时再开记者会,宏福苑火灾已确认151死亡。
警方11月29、30日搜索五幢大厦,新发现18具遗体。1日起进入最初起火的宏昌阁搜索,当日完成1/4单元,新寻获5具遗体。宏昌阁整体结构安全,但部分单元结构损坏严重,需待加固后才能入内。
至今仍有30余失联者。警方说,会尽力寻找辨识身份的物品,但由于部分遗体已化为灰烬,未必能够寻回所有失联者。
廉署问讯:7月台风后,业者采购了7.5万平米不达标棚网,可替换全部8大厦;10月中环一起棚网火灾后,为应付抽查,业者又采购了3700平米阻燃棚网,敷设在棚脚位置。警方多点采样后,确实检出了不合格棚网。
港府宣布,宏福苑全体居民在公立医院享受免费医疗至2026年12月31日。
《大公报》11月28日A7版《揭开维修棚架重重黑幕》组稿,30日从网站上撤下。
港中大学生关靖丰发起“拒绝祭旗了事”等四大诉求网络联署,29日被国安警逮捕,至1日保释待查。国安警30日又以煽动罪逮捕了前屯门区议员张锦雄和一名火场义工。
驻港国安公署11月29日发稿,称港警正调查制止别有用心者借灾生事“以灾乱港”的不轨言行;煽动对行政长官和特区政府的怨恨,其险恶用心和卑劣行径,为人神所共愤,必受道德严谴和法律严惩。夏宝龙12月1日在深圳听取“有关”情况的“详细”汇报。
(港府新闻公报,经济日报,香港01) - DroidDock - macOS 端 Android ADB 文件管理
https://github.com/rajivm1991/DroidDock
> 相对adb命令行管理文件更方便。如果只是单纯浏览文件而不想使用adb,也可用之前发过的 OpenMTP。
DroidDock 是 macOS 上的轻量级 ADB 文件管理工具。
通过 ADB(Android Debug Bridge)与 Android 设备进行通信,提供直观的文件浏览和管理界面,浏览 Android 文件系统、搜索文件、上传 / 下载文件、删除文件等操作。
#Android #Tool #macOSGitHub
GitHub - rajivm1991/DroidDock: A sleek macOS desktop application for browsing Android device files via ADBA sleek macOS desktop application for browsing Android device files via ADB - rajivm1991/DroidDock - Domain-Admin - 轻量级域名 SSL 证书监控方案 | 自动续签
https://github.com/dromara/domain-admin
Domain Admin 是一个基于 Python + Vue3.js 技术栈的开源域名和 SSL 证书监测平台。
● 域名、SSL 证书和托管证书文件的过期监控及到期提醒
● 支持单域名、多域名、泛域名、IP 证书和自签名证书
● 单一 / 多主机 / 动态主机部署方案
● 多通知渠道:邮件、Webhook、企业微信、钉钉、飞书
● Let's Encrypt SSL 证书免费申请和自动续期功能
● 多语言支持:中文和英文
● 网页版和移动端版本
#Tool #DevOps #Network #GitHubGitHubGitHub - dromara/domain-admin: 域名SSL证书监测平台、SSL证书申请自动续签。Domain and SSL Cert monitor System.域名SSL证书监测平台、SSL证书申请自动续签。Domain and SSL Cert monitor System. - dromara/domain-admin
