React与Netx.js组件中存在未授权的远程代码执行漏洞

受影响的 React 框架和打包工具包括：next、react-router、waku、@parcel/rsc、@vitejs/plugin-rsc 和 rwsdk。

React
11 月 29 日，Lachlan Davidson 披露了 React 中的一个安全漏洞，该漏洞使未经过验证的远程代码执行成为可能，原因是在 React 解码发送到 React 服务器函数端点的有效载荷时存在缺陷。

即使您的应用程序没有实现任何 React 服务器端函数端点，只要支持 React 服务器组件，仍然可能存在安全漏洞。

该漏洞被披露为 CVE-2025-55182，CVSS 评分为 10.0。

该漏洞存在于版本 19.0、19.1.0、19.1.1 和 19.2.0 中，已在版本 19.0.1、19.1.2 和 19.2.1 中修复了该问题。如果您使用上述任何版本的包，请立即升级到修复后的版本。

Next.js
该漏洞源自上游的 React 引起（CVE-2025-55182）。本公告（CVE-2025-66478）关注的是在使用 App Router 的 Next.js 应用中受到的影响。

易受攻击的 RSC 协议允许不可信的输入影响服务器端的执行流程。在特定情况下，攻击者可以通过构造请求，触发意外的服务器执行路径，从而在未修补的环境中实现远程代码执行。

受影响的 Next.js 版本范围： Next.js 15.x、16.x、Next.js 14.3.0-canary.77 及之后的canary版本

该漏洞已在以下已修复的 Next.js 版本中得到彻底解决：5.0.5、15.1.9、5.2.6、15.3.6、15.4.8、15.5.7、16.0.7

🗒 标签: #React #Nextjs
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

柬埔寨明年将对中国公民试行免签政策

柬埔寨政府2日发布官方文件说，将于2026年6月15日至10月15日期间对中国公民试行免签政策。文件说，柬埔寨政府同意对从中国前往柬埔寨的中国公民试行免签政策，允许停留14天。在4个月试行期内，中国公民无需申请签证，也无需缴纳任何费用，只需填写电子入境卡即可入境，且可以多次入境柬埔寨。（新华社）

🗒 标签: #柬埔寨 #签证 #免签
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

Spotify和Apple Music推出了2025年度回顾

打开对应的App，即可看到年度回顾。

Spotify Wrapped
你最常听的歌曲、总听歌时间和最喜欢的歌手都在这里。你还会获得你的 2025 Wrapped 播放列表，显示你今年每首前 100 首歌曲的播放次数。

Apple Music Replay

用户可以回顾一年的听歌记录，展示他们最喜欢的歌曲、艺术家和专辑。查看他们在流媒体平台上总共听了多少分钟、听过的艺术家数量、最长的连续听歌艺术家、最喜欢的音乐类型等信息。

Amazon Music 也推出年度回顾功能“Delivered”
该功能会根据你的听歌记录，生成一张虚拟的音乐节海报，展示你心中的“梦想阵容”艺人。

欢迎在评论区分享你们的年度回顾～

🗒 标签: #Spotify #Apple #年度回顾
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

微软《我的世界》明年启用全新年度版本号：Java 与基岩版统一前缀

官方强调，新体系对一般玩家影响不大

微软旗下 Mojang Studios 宣布，自 2026 年起《我的世界》将在 Java 版与基岩版统一采用全新的年度版本号体系，以更直观地反映其“更密集更新”策略。

新的体系将以年份作为版本号开头，例如 2026 年所有版本将以“26”起始，其后依序为“内容发布序号”以及“补丁 / 热修复编号”。

虽然两个版本的前缀相同，但因平台限制与更新频率差异，后续数字仍会不同。不过，共用的年份前缀可帮助创作者、模组开发者与玩家更清晰识别对应内容。

相比之下，Java 版仍会保持单独的补丁号，而基岩版则继续从发布序号向上累计。快照命名也将随之前缀体系调整，例如原称 25w41a 的 Mounts of Mayhem 首个快照，在新体系中会对应为“25.4-snapshot-1”。

🗒 标签: #我的世界
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

我国科学家取得量子研究新进展 终结爱因斯坦与玻尔世纪之辩

从中国科学技术大学获悉，该校潘建伟、陆朝阳、陈明城教授等组成的研究团队，利用光镊囚禁的量子基态单原子，首次忠实地实现了1927年爱因斯坦和玻尔争论中提出的“反冲狭缝”量子干涉思想实验，观测到了原子动量可调谐的干涉对比度渐进变化过程，证明了海森堡极限下的互补性原理，并展示了从量子到经典的连续转变过程。相关成果12月3日在国际学术期刊《物理评论快报》发表。（央视新闻）

中国科学技术大学新闻稿 / 论文链接 / Physics报道

🗒 标签: #反冲狭缝 #量子干涉思想实验
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

摩尔线程：12月5日在科创板上市

摩尔线程公告，经上海证券交易所审核同意，摩尔线程智能科技（北京）股份有限公司发行的人民币普通股股票将于2025年12月5日在上海证券交易所科创板上市。

🗒 标签: #摩尔线程
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

Telegram 将支持使用Passkey登陆，无需输入验证码和电话号码

目前，该功能仍在开发中，尚未完全实现。

未来，Telegram将引入使用访问密钥（Passkey）的登录功能。在Telegram Android Beta版本 12.2.8中，已经支持添加passkey。

Passkey的主要优势在于，无需输入电话号码和一次性验证码即可登录账户。这与通过电子邮件登录或Google / Apple ID登录不同，后者只是SMS验证码的替代方案。

在应用程序的启动屏幕上出现了一个“使用Passkey登录”的按钮。点击该按钮将启动您的密码管理器，该管理器将通过面部识别、指纹或屏幕锁定的PIN码验证您的身份，然后将所需的密钥发送给消息应用，该密钥同时充当登录凭据、密码和一次性验证码。

与通过电子邮件登录一样，您需要预先在Telegram的隐私设置中配置此新功能。密钥将保存在您创建它的手机上，但可以通过Google Password Manager、iCloud Passwords或其他应用程序与其它设备同步。

为什么这很重要？

• 减少对SMS的依赖： 这使得即使在没有活跃会话且Telegram的SMS被运营商阻止的情况下，登录也是可行的。

• 安全性： Passkey存储在您密码管理器的安全区域中，无法被截获或在钓鱼网站上输入。

• 速度： 通过生物识别（面部或指纹）只需一次触碰即可登录。当您更换手机时，Passkey将通过Google或Apple ID账户自动与您的密码管理器同步。

🗒 标签: #Telegram #Passkey
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

Anthropic收购bunjavascript，以进一步加速 Claude Code 的增长。

https://x.com/bunjavascript/status/1995916660847640934

https://x.com/anthropicai/status/1995916269153906915

🗒 标签: #Anthropic #Claude #Bun
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

Yummy 😋

爱丽舍宫：法国总统马克龙将于12月初对中国进行国事访问。 🗒 标签: #法国 #马克龙 📢 频道: @GodlyNews1 🤖 投稿: @GodlyNewsBot

法国总统马克龙抵达北京 开启第四次对华国事访问

今天（3日）下午，法国总统马克龙乘机抵达北京首都国际机场，开启为期三天的访华之行。这是他第四次对中国进行国事访问，也是对去年中法建交60周年之际中国领导人对法国进行历史性国事访问的回访。（央视）

🗒 标签: #法国 #马克龙
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

豆包手机助手触发微信账号强制下线

据澎湃新闻，多位网友在社交平台上表示，有用户在努比亚M153上使用豆包手机助手操作任务时，操作到微信会导致微信异常退出甚至无法登陆。多位豆包手机的使用者向记者确认了这一消息的真实性。

记者了解到，豆包助手预览版的工程机目前可以正常使用微信，但豆包助手的操作手机功能，目前不再支持操作微信。

🗒 标签: #豆包 #微信
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

Google 正在尝试用AI生成的引入注目的标题，并取代原新闻标题。

Google表示这只是针对部分 Discover 用户进行的一个“小规模界面测试”

AI生成的标题将被浓缩成四个单词，一些文章被添加了误导性和荒谬的标题，而且没有说明这些标题是由Google的AI重写的。

TheVerge还看到Google试图声称“AMD 显卡超过了 Nvidia”，似乎 AMD 发布了一款具有突破性的显卡，但实际上 Wccftech 的报道是关于一家德国零售商在一周内售出比 Nvidia 更多的 AMD 显卡。Wccftech 的标题比较负责，但Google把它变成了点击诱饵。

🗒 标签: #Google #AI
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

Yummy 😋

苹果抵制印度强制预装国有安全应用的命令 据三位消息人士透露，苹果公司不打算遵守强制要求在其手机上预装一款由国家提供的网络安全应用程序，并将向新德里表达关切。此前，印度政府的这一举动引发了关于监控和政治纷争的担忧。 印度政府已秘密指示包括苹果、三星和小米在内的公司，在 90 天内在手机中预装一款名为“Sanchar Saathi”，也就是“通信伙伴”的应用。这款应用的目的是追踪被盗手机、将其封锁以及防止被滥用。 🗒 标签: #印度 #SancharSaathi 📢 频道: @GodlyNews1 🤖 投稿:…

印度通信部长：用户可以删除强制安装的国有“安全”应用

部长表示，引入该应用是其“责任”，但用户可以自行决定是否保留它。

此前，苹果曾表示将抵制该命令。

🗒 标签: #印度 #SancharSaathi
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

YouTube推出年度回顾“Recap”

“Recap”功能将从今天开始在北美用户中逐步推出，并将在“本周”根据不同语言逐步在全球范围内推广。

YouTube 正在听取用户反馈，正式推出“Recap”功能，这是它模仿 Spotify 流行的 Wrapped 所推出的年度回顾视频，帮助你回顾过去一年的平台使用情况。

从今天开始，YouTube“Recap”将根据你过去一年的观看记录，制作最多 12 张卡片，内容包括你喜欢的频道、话题以及观看习惯。

YouTube 社区中的一些知名人士，比如 Hank Green 和 Marques Brownlee，一直在呼吁 YouTube 也为视频内容推出类似的总结。

该功能会出现在移动应用的“首页”或“You”标签中，桌面用户可以在 youtube.com/recap 页面访问（当功能上线时）。在移动端，Android 和 iOS 用户需要使用 YouTube v18.43 或更高版本才能使用。

🗒 标签: #YouTube #Recap #年度回顾
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot