APPINN | 小众软件修改

2025-12-05 16:28:51

关于 CVE-2025-55182 的讨论已经持续两天了。青小蛙在社区中看到 @Fiend_FEARing 同学的预警帖：《重大漏洞预警：CVE-2025-55182（CVSS 10.0）影响 React Server Components》。

当时青小蛙就震惊了，满分 CVSS 10.0 的漏洞评分极少见啊，于是就查了一下，上一次影响范围这么广的10分漏洞，还是大名鼎鼎的 Log4Shell 漏洞。

发生了什么？

React Server Components（RSC）爆出了一个 CVSS 10.0 满分漏洞，漏洞编号：CVE-2025-55182。

这是 CVE 中最高等级的漏洞（顺便参考：CVE 是什么）。

这是一个未授权远程代码执行（RCE）漏洞

• 不需要登录
• 不需要权限
• 黑客可在服务器上执行任意代码

因为 RSC 已成为现代 React / Next.js 默认机制，所以影响范围极大。这次事件也被社区戏称 React2Shell，类比当年的 Log4Shell。

RSC 是什么？

先来解释 React

React 是一个使用 JavaScript 语言来编写网页、应用、软件界面的技术框架，可以将 React 理解为乐高积木：

• 一个按钮是一块积木
• 一条评论是一块积木
• 一个商品卡片是一块积木

最后把这些组件拼起来，就能构成完整的界面。

这种积木化的模式非常高效，因此 React 十分流行。

再说 RSC（React Server Components）

RSC 做了一件重要的事：把原本需要在用户浏览器里执行的一部分 React 组件，改成在服务器上执行。

这样可以让用户更快的加载页面，并且服务器也能更快、更安全。

对谁有影响？

RSC 是 React 官方自己发布、自己推荐的下一代架构。

而更关键的是，最流行的 React 框架 Next.js，已经把 RSC 作为默认工作方式。

仍然用乐高来比喻：

• React 是基础积木
• RSC 是新玩法
• Next.js 是带说明书、带包装盒，可以直接拿去售卖的乐高套装

已经有很多知名公司的网站或产品都使用了 Next.js，比如 Netflix、Twitch、、Hulu、Binance、OpenAI、Claude、Stripe、GitHub Copilot、Notion、Nike 都在使用 Next.js，所以影响范围极广。

该怎么办？

作为像青小蛙一样的普通用户，吃瓜。就当个八卦听听好了。顺便了解一个冷知识嘛。

作为开发者，他会自己着急的 （去升级啦）

已修复版本：

• react-server-dom-parcel：19.0.1 / 19.1.2 / 19.2.1
• react-server-dom-turbopack：19.0.1 / 19.1.2 / 19.2.1
• react-server-dom-webpack：19.0.1 / 19.1.2 / 19.2.1

Next.js 方面，以下版本已修复：

• 15 系列：15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7
• 16 系列：16.0.7

回顾：Log4Shell（CVE-2021-44228）

如果你曾经听过 Log4Shell，就是2021年的那场重大漏洞，它出现在几乎所有 Java 系统都会用到的 Log4j 日志组件中。

因为 Log4j 的普及度太高，导致全世界无数网站、企业系统、云服务都暴露在风险之下。

黑客只需要发送一条特制的日志字符串，就能让服务器执行他们的恶意代码。让很多大型企业紧张了一段时间。

Log4Shell 至今仍被视为互联网历史上最严重的漏洞之一。

原文：https://www.appinn.com/react-rsc-cve-2025-55182/

2025-12-04 17:32:45

MinIO 是一款著名的开源 S3 兼容的对象存储系统，2025年12月3日宣布进入维护模式，不再接受任何新功能、改进或拉取请求。@Appinn

，新用户不需要在考虑 MinIO 了，老用户想想怎么离开

MinIO 在昨天更新了 GitHub 的 Readme.md 说明文件，明确：

Maintenance Mode 维护模式

该项目目前正在维护中，不接受新的更改。

• The codebase is in a maintenance-only state
  代码库目前处于仅维护状态。
• No new features, enhancements, or pull requests will be accepted
  不接受任何新功能、改进或拉取请求。
• Critical security fixes may be evaluated on a case-by-case basis
  关键安全修复可能需要根据具体情况进行评估。
• Existing issues and pull requests will not be actively reviewed
  现有问题和拉取请求将不会得到积极审查。
• Community support continues on a best-effort basis through Slack
  社区支持将继续通过 Slack 以尽力而为的方式进行。

前情回顾

就在今年6月份，MonIO 的一次更新，删除了管理界面：

• MinIO 用户谨慎更新：11万行代码被官方删除，Web 管理功能全没了

MonIO 是什么？

MinIO 是一个开源的对象存储服务，可以理解成“自己搭建的 S3”（下面有解释什么是 S3）。

它完全兼容 S3 的接口，所以你原本用来访问 S3 的代码、工具、服务，几乎都可以不改直接接到 MinIO 上。

因为它是自建服务，你可以把 MinIO 部署在自己的服务器、NAS、Docker 或 Kubernetes 里，相当于拥有一个“私有 S3”。

特点：

• 开源、免费（社区版）
• 部署非常轻量，几乎几秒就能跑起来
• 完全兼容 S3 API
• 适合存放日志、备份、图片、视频、模型文件等海量数据
• 可以做分布式部署，用来承载大型对象存储需求

简单理解：

S3 是亚马逊提供的存储服务，而 MinIO 是把 S3 的能力带到你的本地或私有环境。

S3 是什么？

它最早是 Amazon 提供的服务，全名是：Amazon S3（Simple Storage Service）＝ 简单存储服务

但由于用的太多，成为了事实标准。很多云服务和软件提供简单的方式直接接入 S3。

于是兼容 S3 的服务、软件就出现了，比如 Minio、Cloudflare R2、Backblaze B2 等等。

S3 就像“在线硬盘”，你可以往里面放文件，也可以随时从里面取文件。需要通过网络随时访问，特别适合存大文件、很多文件、或需要长期保存的文件。

特点：

• 不需要管理磁盘
• 自动扩容
• 通过统一的 S3 接口访问（上传、下载、删除）

替代品

替代品	是否开源	S3 兼容性	特点总结
SeaweedFS	Apache 许可	通过内置 S3 API / Gateway 提供 S3 兼容接口 (DeepWiki)	高性能分布式文件/对象存储，支持海量小文件、可通过 S3 API 访问
Garage	AGPL	原生实现 S3 API	Rust 编写、轻量、自托管友好，专门面向小到中规模集群
Ceph（RADOS Gateway）	LGPL / 开源	提供与 Amazon S3 数据访问模型兼容的 REST API	成熟的分布式存储平台，一个集群同时提供块/文件/对象，多接口统一
OpenStack Swift + s3api 中间件	开源	通过 s3api 中间件模拟 S3 REST API	Swift 本身是对象存储，通过中间件可兼容 S3 API，适合已有 OpenStack 环境
Zenko（Scality）	开源	通过统一对象 API 访问包括 S3 在内的多种后端	多云数据控制器，不是“单一存储引擎”，而是统一命名空间 + 多云路由
Amazon S3	闭源 / 云服务	S3 原版	行业标准的云对象存储，可靠性、功能最完整
Backblaze B2	闭源 / 云服务	提供 S3-Compatible API	低成本云存储，B2 通过 S3 兼容 API / 网关接入生态
MinIO 社区 Fork（如 openminio/openminio） (GitHub)	开源（社区维护）	延续 MinIO 的 S3 兼容接口	社区维护的 MinIO 派生项目，目标是延续/恢复原有特性；活跃度、长期性需自行评估

欢迎补充。

以上，和 MinIO 说再见。

原文：https://www.appinn.com/minio-maintenance-mode/

2025-12-03 19:54:41

应 WeTab 要求，原文已删除。仅保留声明

收到来自 WeTab 与 Infinity 开发团队的回应

您好，这里是 WeTab 与 Infinity 开发团队：

1.文中引用的所谓“安全报告”来自英国安全团队 Koi 及部分第三方论坛网友的推测，均未经过证实，缺乏可信度。

2.WeTab 团队已公开发布声明澄清此事，你方名下公众号及网站文章标题及正文中提及“400 多万用户”的 Infinity 新标签页与 WeTab AI 标签页均不存在恶意行为，且国内第三方安全团队已证实此点。原安全报告文中其他可能含恶意程序的扩展与 WeTab 团队无任何关联。文章多次引用“430 万用户数据”等表述，属于严重错误与主观臆测。

3.原安全报告中重点质疑 WeTab 的所谓“全面数据收集”行为，声称 WeTab “将大量用户数据发送至 17 个不同域名”，并附有一段代码截图。但该段代码经核查实际来源为业界常用的百度统计，与恶意行为无关。

4.原安全报告中提到名为 “Infinity V+” 的扩展，并将其与 WeTab 团队运营的 Infinity 新标签页混为一谈。经查，“Infinity V+” 为十余年前的旧插件，早已下架，用户数不详；此外，在火狐商店中也存在大量 Infinity 山寨版本，上述产品均与 WeTab 团队无任何关系。

5.外媒原文将所谓恶意程序命名为 “ShadyPanda”（意为“阴暗的熊猫”），在涉事插件多达百款，且尚未明确其真实来源的情况下，将该恶意程序强行与中国关联，意有所指。此外，该团队将行业内普遍使用的百度统计认定为“窃取用户数据”的证据，进一步反映其所谓“安全报告”的专业性与可靠性值得质疑。

6.上述文章及引用内容均包含大量未经证实的消息。一些国内自媒体未经核实即大范围传播，并添加夸张及严重的描述，造成了对 WeTab / Infinity 的恶劣舆论影响。

所有有关恶意扩展 ID 完整列表

最后，Koi 还附上了所有与 ShadyPanda 行动相关的扩展 ID 的完整列表：

C&C Domains:

• extensionplay[.]com
• yearnnewtab[.]com
• api.cgatgpt[.]net

Exfiltrations Domains:

• dergoodting[.]com
• yearnnewtab[.]com
• cleanmasters[.]store
• s-85283.gotocdn[.]com
• s-82923.gotocdn[.]com

Chrome Extensions:

• eagiakjmjnblliacokhcalebgnhellfi
• ibiejjpajlfljcgjndbonclhcbdcamai
• ogjneoecnllmjcegcfpaamfpbiaaiekh
• jbnopeoocgbmnochaadfnhiiimfpbpmf
• cdgonefipacceedbkflolomdegncceid
• gipnpcencdgljnaecpekokmpgnhgpela
• bpgaffohfacaamplbbojgbiicfgedmoi
• ineempkjpmbdejmdgienaphomigjjiej
• nnnklgkfdfbdijeeglhjfleaoagiagig
• Mljmfnkjmcdmongjnnnbbnajjdbojoci
• llkncpcdceadgibhbedecmkencokjajg
• nmfbniajnpceakchicdhfofoejhgjefb
• ijcpbhmpbaafndchbjdjchogaogelnjl
• olaahjgjlhoehkpemnfognpgmkbedodk
• gnhgdhlkojnlgljamagoigaabdmfhfeg
• cihbmmokhmieaidfgamioabhhkggnehm
• lehjnmndiohfaphecnjhopgookigekdk
• hlcjkaoneihodfmonjnlnnfpdcopgfjk
• hmhifpbclhgklaaepgbabgcpfgidkoei
• lnlononncfdnhdfmgpkdfoibmfdehfoj
• nagbiboibhbjbclhcigklajjdefaiidc
• ofkopmlicnffaiiabnmnaajaimmenkjn
• ocffbdeldlbilgegmifiakciiicnoaeo
• eaokmbopbenbmgegkmoiogmpejlaikea
• lhiehjmkpbhhkfapacaiheolgejcifgd
• ondhgmkgppbdnogfiglikgpdkmkaiggk
• imdgpklnabbkghcbhmkbjbhcomnfdige
  

Edge Add-ons:

• bpelnogcookhocnaok****
• enkihkfondbngohnmlefmobdgkpmejha
• hajlmbnnniemimmaeh****
• aadnmeanpbokjjahcnikajejglihibpd
• ipnidmjhnoipibbinllilgeohohehabl
• fnnigcfbmghcefaboigkhfimeolhhbcp
• nlcebdoehkdiojeahkofcfnolkleembf
• fhababnomjcnhmobbemagohkldaeicad
• nokknhlkpdfppefncfkdebhgfpfilieo
• ljmcneongnlaecabgneiippeacdoimaa
• onifebiiejdjncjpjnojlebibonmnhog
• dbagndmcddecodlmnlcmhheicgkaglpk
• fmgfcpjmmapcjlknncjgmbolgaecngfo
• kgmlodoegkmpfkbepkfhgeldidodgohd
• hegpgapbnfiibpbkanjemgmdpmmlecbc
• gkanlgbbnncfafkhlchnadcopcgjkfli
• oghgaghnofhhoolfneepjneedejcpiic
• fcidgbgogbfdcgijkcfdjcagmhcelpbc
• nnceocbiolncfljcmajijmeakcdlffnh
• domfmjgbmkckapepjahpedlpdedmckbj
• cbkogccidanmoaicgphipbdofakomlak
• bmlifknbfonkgphkpmkeoahgbhbdhebh
• ghaggkcfafofhcfppignflhlocmcfimd
• hfeialplaojonefabmojhobdmghnjkmf
• boiciofdokedkpmopjnghpkgdakmcpmb
• ibfpbjfnpcgmiggfildbcngccoomddmj
• idjhfmgaddmdojcfmhcjnnbhnhbmhipd
• jhgfinhjcamijjoikplacnfknpchndgb
• cgjgmbppcoolfkbkjhoogdpkboohhgel
• afooldonhjnhddgnfahlepchipjennab
• fkbcbgffcclobgbombinljckbelhnpif
• fpokgjmlcemklhmilomcljolhnbaaajk
• hadkldcldaanpomhhllacdmglkoepaed
• iedkeilnpbkeecjpmkelnglnjpnacnlh
• hjfmkkelabjoojjmjljidocklbibphgl
• dhjmmcjnajkpnbnbpagglbbfpbacoffm
• cgehahdmoijenmnhinajnojmmlnipckl
• fjigdpmfeomndepihcinokhcphdojepm
• chmcepembfffejphepoongapnlchjgil
• googojfbnbhbbnpfpdnffnklipgifngn
• fodcokjckpkfpegbekkiallamhedahjd
• igiakpjhacibmaichhgbagdkjmjbnanl
• omkjakddaeljdfgekdjebbbiboljnalk
• llilhpmmhicmiaoancaafdgganakopfg
• nemkiffjklgaooligallbpmhdmmhepll
• papedehkgfhnagdiempdbhlgcnioofnd
• glfddenhiaacfmhoiebfeljnfkkkmbjb
• pkjfghocapckmendmgdmppjccbplccbg
• gbcjipmcpedgndgdnfofbhgnkmghoamm
• ncapkionddmdmfocnjfcfpnimepibggf
• klggeioacnkkpdcnapgcoicnblliidmf
• klgjbnheihgnmimajhohfcldhfpjnahe
• acogeoajdpgplfhidldckbjkkpgeebod
• ekndlocgcngbpebppapnpalpjfnkoffh
• elckfehnjdbghpoheamjffpdbbogjhie
• dmpceopfiajfdnoiebfankfoabfehdpn
• gpolcigkhldaighngmmmcjldkkiaonbg
• dfakjobhimnibdmkbgpkijoihplhcnil
• hbghbdhfibifdgnbpaogepnkekonkdgc
• fppchnhginnfabgenhihpncnphhafmac
• ghhddclfklljabeodmcejjjlhoaaiban
• bppelgkcnhfkicolffhlkbdghdnjdkhi
• ikgaleggljchgbihlaanjbkekmmgccam
• bdhjinjoglaijpffoamhhnhooeimgoap
• fjioinpkgmlcioajfnncgldldcnabffe
• opncjjhgbllenobgbfjbblhghmdpmpbj
• cbijiaccpnkbdpgbmiiipedpepbhioel
• fbbmnieefocnacnecccgmedmcbhlkcpm
• hmbacpfgehmmoloinfmkgkpjoagiogai
• paghkadkhiladedijgodgghaajppmpcg
• bafbmfpfepdlgnfkgfbobplkkaoakjcl
• kcpkoopmfjhdpgjohcbgkbjpmbjmhgoi
• jelgelidmodjpmohbapbghdgcpncahki
• lfgakdlafdenmaikccbojgcofkkhmolj
• hdfknlljfbdfjdjhfgoonpphpigjjjak
• kpfbijpdidioaomoecdbfaodhajbcjfl
• fckphkcbpgmappcgnfieaacjbknhkhin
• lhfdakoonenpbggbeephofdlflloghhi
• ljjngehkphcdnnapgciajcdbcpgmpknc
• ejfocpkjndmkbloiobcdhkkoeekcpkik
• ccdimkoieijdbgdlkfjjfncmihmlpanj
• agdlpnhabjfcbeiempefhpgikapcapjb
• mddfnhdadbofiifdebeiegecchpkbgdb
• alknmfpopohfpdpafdmobclioihdkhjh
• hlglicejgohbanllnmnjllajhmnhjjel
• iaccapfapbjahnhcmkgjjonlccbhdpjl
• ehmnkbambjnodfbjcebjffilahbfjdml
• ngbfciefgjgijkkmpalnmhikoojilkob
• laholcgeblfbgdhkbiidbpiofdcbpeeo
• njoedigapanaggiabjafnaklppphempm
• fomlombffdkflbliepgpgcnagolnegjn
• jpoofbjomdefajdjcimmaoildecebkjc
• nhdiopbebcklbkpfnhipecgfhdhdbfhb
• gdnhikbabcflemolpeaaknnieodgpiie
• bbdioggpbhhodagchciaeaggdponnhpa
• ikajognfijokhbgjdhgpemljgcjclpmn
• lmnjiioclbjphkggicmldippjojgmldk
• ffgihbmcfcihmpbegcfdkmafaplheknk
• lgnjdldkappogbkljaiedgogobcgemch
• hiodlpcelfelhpinhgngoopbmclcaghd
• mnophppbmlnlfobakddidbcgcjakipin
• jbajdpebknffiaenkdhopebkolgdlfaf
• ejdihbblcbdfobabjfebfjfopenohbjb
• ikkoanocgpdmmiamnkogipbpdpckcahn
• ileojfedpkdbkcchpnghhaebfoimamop
• akialmafcdmkelghnomeneinkcllnoih
• eholblediahnodlgigdkdhkkpmbiafoj
• ipokalojgdmhfpagmhnjokidnpjfnfik
• hdpmmcmblgbkllldbccfdejchjlpochf
• iphacjobmeoknlhenjfiilbkddgaljad
• jiiggekklbbojgfmdenimcdkmidnfofl
• gkhggnaplpjkghjjcmpmnmidjndojpcn
• opakkgodhhongnhbdkgjgdlcbknacpaa
• nkjomoafjgemogbdkhledkoeaflnmgfi
• ebileebbekdcpfjlekjapgmbgpfigled
• oaacndacaoelmkhfilennooagoelpjop
• ljkgnegaajfacghepjiajibgdpfmcfip
• hgolomhkdcpmbgckhebdhdknaemlbbaa
• bboeoilakaofjkdmekpgeigieokkpgfn
• dkkpollfhjoiapcenojlmgempmjekcla
• emiocjgakibimbopobplmfldkldhhiad
• nchdmembkfgkejljapneliogidkchiop
• lljplndkobdgkjilfmfiefpldkhkhbbd
• hofaaigdagglolgiefkbencchnekjejl
• hohobnhiiohgcipklpncfmjkjpmejjni
• jocnjcakendmllafpmjailfnlndaaklf
• bjdclfjlhgcdcpjhmhfggkkfacipilai
• ahebpkbnckhgjmndfjejibjjahjdlhdb
• enaigkcpmpohpbokbfllbkijmllmpafm
• bpngofombcjloljkoafhmpcjclkekfbh
• cacbflgkiidgcekflfgdnjdnaalfmkob
• ibmgdfenfldppaodbahpgcoebmmkdbac

2025-12-03 16:18:49

作为全球最知名的免费证书服务商，Let’s Encrypt 昨天正式宣布：证书有效期缩短至 45 天。

从2026年开始，可选生成 45 天证书，2027年默认 64 天，2028年默认 45 天。@Appinn

Let’s Encrypt 在2025年12月3日发布了一篇名为《Decreasing Certificate Lifetimes to 45 Days》的博客文章，宣布了此事。

具体时间表

2026-05-13（可选）

• 新的 “tlsserver” ACME 配置档（profile） 可选使用
• 使用该 profile 的用户将收到 45 天有效期证书
• 这是为提前试用者准备的“早期阶段”

2027-02-10

• 默认的 “classic” profile 的证书有效期从 90 天缩短至 64 天
• 域名授权（Authorization）重用有效期缩短为 10 天

2028-02-16

• “classic” profile 完成最终过渡
• 证书有效期进一步从 64 天降至 45 天（与 tlsserver 一致）
• 授权重用期缩短至 7 小时（从原来的 30 天 → 10 天 → 7 小时）

授权重用是指完成一次域名验证（Domain Control Validation, DCV）后，这次验证的结果可以被重复使用的时间。比如你对 appinn.com 域名进行了 DNS 验证，这样在 10 天内，可以重新签发证书，而不用再次验证。

为什么一而再再而三的缩短证书有效期？

证书有效期从最早5年，已经缩短到了3个月，未来还会近一步缩短至 45 天。

但是，为什么？

主要有以下几点理由：

1. 安全性：更短的证书有效期能显著降低密钥泄露和误签发带来的风险，从而提升整个互联网的安全性。
2. 灵活性：更短的证书可以让全网更快采用新协议 / 新算法、更安全的密钥、新的行业标准
3. 后悔性：证书中包含大量信息，一旦配置错误将导致错误信息在互联网上存在数年之久
4. 自动化：2025年以来，被90天证书逼的，青小蛙都把证书自动化了

以及，还能降低 CA 运行成本，撤销证书更方便快速。

还有，应对未来的后量子密码学（PQC）。

总之，自动化就完事了。

参考：

在2025年1月份，Let’s Encrypt 就推出了有效期 6 天的 HTTPS 证书，并且支持 IP 地址。

2025-12-03 14:11:48

《纪念碑谷3》是一款以设计巧妙、精美著称的续作解谜游戏，去年12月份的时候，由 Netflix 免费发布（需要用户订阅 Netflix）。现在，你可以直接在 App Store、Google Play 下载到这款游戏了，无需 Netflix。@Appinn

但注意，你可免费畅玩《纪念碑谷3》前两章，解锁完整版本需要 $5.99，包括最近更新的扩展篇章“生命花园”。

《纪念碑谷3》风格和前作一致，依旧画面精致，关卡巧妙，玩起来比较停不下来，现在还有船可以控制了。

每一关都只有一种解法，多试试就能过去，青小蛙玩到第四章了（没有继续玩了，还在第四章，以及 Netflix 翻车了，存档也没了 ）

新的扩展篇章生命花园中，与诺尔共赴引人入胜的新冒险。

在诺尔这段延续航程中，有四个令人惊叹的新章节，每个章节都充满了烧脑的待解谜题。扩展你的村庄、与社区缔结情感纽带，并探寻更多有待发掘的隐藏谜题。

获取

• App Store
• Google Play

目前尚无其他渠道，中区无此游戏，港区、美区皆可。

原文：https://www.appinn.com/monument-valley-3/

2025-12-02 16:45:35

你有没有过这种迷之自信：“我要写一个 APP/网站 了！来，先选架构！再挑服务器！微服务？容器？集群？一条龙走起！”

然后转头一看：全站总用户12个，其中6个还是你本人。

你到底建了些什么玩意儿？

有人建了这个网站（What the hell have you built），纯嘲笑这件事，它把现实摊在图上：

就…在昨天，接到了另外一个留言…还挺真实的。