Appinn Feed|小众软件
这里有小众软件和发现频道的内容更新,以及一个绑定的私有群组。
💬 吹水群:https://t.me/appinn
📖 RSS 订阅地址:https://feeds.feedburner.com/apipnntgfeed
📣 发现频道 @appinnfaxian
在这个频道发布广告(Buy ads on this channel): https://telega.io/c/appinnfeed
💬 吹水群:https://t.me/appinn
📖 RSS 订阅地址:https://feeds.feedburner.com/apipnntgfeed
📣 发现频道 @appinnfaxian
在这个频道发布广告(Buy ads on this channel): https://telega.io/c/appinnfeed
-
- 💧 #小众软件
Nginx rewrite 模块爆高危漏洞:可能已经存在十几年|CVE-2026-42945
Nginx 是一款被广泛使用的 HTTP 服务器软件。2026 年 5 月 13 日官方披露常用模组 rewrite 存在安全漏洞。攻击者可通过构造特殊 HTTP 请求触发该漏洞,导致 Nginx 工作进程发生堆缓冲区溢出,进而造成进程崩溃或服务重启。@Appinn
在部分关闭了地址空间布局随机化(ASLR)的系统中,攻击者还有可能进一步执行任意代码。
漏洞代码 CVE-2026-42945 得分 8.1 分,属于较高。
发生了什么?
感谢 @Niceb 同学的提醒。
在 Nginx 的 ngxhttprewritemodule 模组中,发现了一个存在多年的内存漏洞,攻击者可通过构造特殊 HTTP 请求,在 nginx 处理 rewrite 规则时触发堆缓冲区溢出,导致工作进程崩溃、服务重启。
漏洞位置:ngxhttprewritemodule
类型:堆缓冲区溢出(heap buffer overflow)
影响:可能导致远程代码执行(RCE)
攻击条件:攻击者不需要登录,可以通过构造 HTTP 请求触发
触发条件:需要 nginx 配置中存在特定 re
https://www.appinn.com/nginx-rewrite-rce-cve-2026-42945/小众软件
Nginx rewrite 模块爆高危漏洞:可能已经存在十几年|CVE-2026-42945 - 小众软件漏洞代码 CVE-2026-42945 得分 8.1 分,属于较高。 - 💧 #小众软件
Linux 三爆提权漏洞 Fragnesia,一行代码,获得 root 权限|CVE-2026-46300
从4月30日至今,Linux 已经连爆三起提权漏洞,只需要一行代码,立即获得系统 root 权限。
2026年4月30日:Copy Fail:2017年至今的漏洞,一个脚本获得 Linux root 管理员权限|CVE-2026-31431
2026年5月8日:Linux 又爆 Dirty Frag 漏洞:Ubuntu、Debian、Arch、RHEL、WSL2 全中招|CVE-2026-43284
2026年5月14日:Fragnesia:普通用户可通过 Linux 内核里的网络/加密处理逻辑,把只读文件在“页缓存”里的内容临时改掉,然后借此拿到 root
Fragnesia 漏洞
这次漏洞被叫做 Fragnesia,编号 CVE-2026-46300,得分 7.8 分。
Fragnesia 属于 Dirty Frag 漏洞家族,但并不是同一个漏洞,而是 Linux ESP/XFRM 模块中的另一处独立问题,因此需要单独修复。不过,两者影响的位置相似,临时缓解方法也一样。
攻击者可以利用 Linux 内核 ESP-in-TCP 子系统中的逻辑错误,只需要修改只读文件在内
https://www.appinn.com/linux-fragnesia-cve-2026-46300/小众软件
14天内三爆 Linux 提权漏洞 Fragnesia,一行代码,获得 root 权限|CVE-2026-46300 - 小众软件这次漏洞被叫做 Fragnesia(PoC 仓库代码),编号 CVE-2026-46300,得分 7.8 分。 -
- 💧 #小众软件
Everything 1.5a 官方中文语言包终于来了
Everything 1.5.0.1409a 已经发布,自带了完整的官方中文语言包,所有菜单已翻译,选项界面也全部完成翻译,很难看到中英文夹杂的界面了。@Appinn
继2026年2月份Everything 1.5 Alpha 进入全面稳定期(1405),作为长期测试版的 Everything 1.5a 又发布了两几个新版本,目前最新版是 Everything 1.5.0.1409a,下载后自带中文语言包,而且是完整版本,包括界面、菜单、选项、右键菜单。
青小蛙找了一圈,暂时没有发现遗漏的翻译,堪称 Everything 完整中文版了。
来自 @小恐龙 的提醒:Everything 1.5终于有完整中文语言了。
如何开启内容搜索(索引文件内容)
Everything 1.5a 的一大特色就是支持内容搜索,默认支持:
.doc
.docx
.pdf
.txt
.xls
.xlsx
你也可以手动添加文件类型。
但需要手动开启这项功能,进入选项 > 内容,勾选 索引文件内容,就好了:
https://www.appinn.com/everything-1-5-0-1409a/小众软件
Everything 1.5a 官方中文语言包终于来了 - 小众软件Everything 1.5.0.1409a 已经发布,自带了完整的官方中文语言包,所有菜单已翻译,选项界面也全部完成翻译,很难看到中英文夹杂的界面了。@Appinn -
- 💧 #小众软件
Scrcpy 4.0 发布:远程控制安卓手机,让 Android 应用开始有“桌面化”体验
Scrcpy 是一款开源免费的电脑控制安卓工具,支持 Windows、macOS、Linux,Scrcpy v4.0 今日更新,新增弹性显示功能(Flex Display),让 Android 应用的界面会跟着窗口大小自动调整。@Appinn
大概就是,当你在电脑上拉宽 Scrcpy 窗口时,Android 会认为:“哦,我变成平板了。”
Flex Display 功能
以前的 scrcpy:
本质是“把手机画面录下来”
电脑窗口只是播放器
拉伸、缩放,本质都是视频缩放
现在的 scrcpy 4.0:
可动态调整 Android 虚拟显示器
Android 会真的重新布局
应用会认为屏幕尺寸变了
Scrcpy 4.0 的其他更新
SDL3:窗口体验明显更正常了
scrcpy 从 SDL2 升级到 SDL3。带来:
更稳定的全屏
更自然的窗口缩放
更好的高分屏与 Wayland 支持
黑边减少
keep-active:防止设备自动息屏
scrcpy --keep-active
会模拟用户一直在活动,让屏幕不在熄灭。
适合长时间
https://www.appinn.com/scrcpy-4-0/小众软件
Scrcpy 4.0 发布:远程控制安卓手机,让 Android 应用开始有“桌面化”体验 - 小众软件现在的 scrcpy 4.0: - 💧 #小众软件
npm 历史上首个蠕虫式供应链攻击:会自我传播
npm 出现了新攻击方式:TanStack Router 官方 npm 包被植入恶意代码。攻击者入侵了项目发布流程,上传了带后门的官方版本。这些包会窃取开发者电脑里的各种密钥,并尝试继续感染开发者拥有权限的其他 GitHub 仓库,再借 npm 进一步传播。
令人绝望的是:它绕过了现代 npm 生态最核心的一整套“信任链”:
发布者是真的
官方账号是真的
CI 是真的
provenance 是真的
npm 签名也是真的
但发布出去的代码,是恶意的。
另外,有安全研究员认为,这是 npm 历史上第一次出现真正“会自我传播”的蠕虫式供应链攻击。
到底发生了什么?
这次出问题的是 TanStack Router,一个非常流行的 JavaScript 路由库,在 npm 上每周下载量超过数百万次,被大量前端项目使用。
攻击者先从临时分枝提交了一段恶意代码。虽然这个提交很快就被关闭了,但项目的自动化系统还是运行了它。
这段代码随后污染了 CI 缓存。后来,另一个完全正常的更新触发正式发布流程时,系统再次读取了这个缓存,最终把恶意代码一起打包进了官方 npm 版本里。
T
https://www.appinn.com/tanstack-npm-compromise/小众软件
npm 历史上首个蠕虫式供应链攻击:会自我传播 - 小众软件另外,有安全研究员认为,这是 npm 历史上第一次出现真正“会自我传播”的蠕虫式供应链攻击。 - 💧 #小众软件
坦白了:一个普通网页,到底能知道你多少信息?
只需要访问一个网页,什么都不做,也不需要授权,就可以知道你的很多信息。这是真的!
现在,你只需要点击访问下面的网站:
https://baolu.appinn.com/
就可以看到,你的一些信息。
而这些信息,在网页加载完成之前,就发送完了。包括 IP地址、时间、语言、设备、电池、显卡、字体、屏幕等信息。
单独看,这些信息似乎没什么。
但组合在一起之后,它们就会变成一枚相当稳定的“浏览器指纹”。
很多网站即使不登录、不写 Cookie,也依然有机会认出“还是你”。
另外,关于鼠标键盘、停留时间的信息,我也是第一次具体的感受到:
你已经在这个页面上待了 70 秒。你向下滚动了 100% 。你还没有离开这个标签页 —— 如果离开了,我们会知道。你的鼠标已经移动了 78 次。你点击了 7 次。你最长停顿了 3 秒 —— 比页面上的其他地方都更久。我们不是在现在才开始计数。我们一直都在计数。
该网页保存了你上次访问的时间信息,可以在页面底部点击按钮清除。
原文:https://www.appinn.com/baolu-browser/Appinn你的浏览器暴露了什么?一个中文隐私可视化网页:展示浏览器在不使用 Cookie 的情况下,仍能暴露出哪些可识别信号。 -
- 💧 #小众软件
豆包输入法 Mac 版正式上线|语音输入法、拼音、双拼
下载地址:https://shurufa.doubao.com/pc
安装包 159MB,这是一个包括了AI语音输入,拼音、小鹤双拼和自然码的输入法。
默认按住 fn 快捷键说话,就能自动录入了。识别效率很高,速度很快,有语音输入需求的同学可以去试试。
目前还没有Windows版本。
此前,在2025年11月,豆包输入法分别上线了 iOS 版本与安卓版本。
豆包输入法 iPhone 版正式上线,该来的都来了
豆包输入法安卓版已上线,是时候二选一了
相关阅读豆包输入法安卓版已上线,是时候二选一了。豆包输入法 iPhone 版正式上线,该来的都来了七牛云赠送 1000 万 Token,可使用 DeepSeek、GLM、Minimax、Qwen 等主流模型朋友圈输入法 – 让朋友圈文字不再被折叠 iPhone字节跳动正式发布 Trae 国内版,集成 DeepSeek 与豆包
©2021 青小蛙 for 小众软件 | 加入我们 | 投稿 | 订阅指南 3659b075e72a5b7b1b87ea74aa7932ff
点击这里留言、和原作者一起评论 点击前往获取链接
https://www.appinn.com/doubao-shurufa-macos/Doubao豆包输入法高效输入,享受输出 - 📣 #发现频道
【自荐】AI Agent 的网页浏览工具,给你的 Agent 一双真正的眼睛
https://meta.appinn.net/t/topic/84527小众软件官方论坛【自荐】AI Agent 的网页浏览工具,给你的 Agent 一双真正的眼睛软件名称 Dokobot 支持平台 Windows、MacOS、Linux 支持浏览器 Chrome、Edge、Brave 支持的Agent Antigravity、Claude Code、CodeBuddy、Codex、Cursor、Hermes Agent、OpenClaw、OpenCode、Qwen Code、Trae、WindSurf、WorkBuddy 推荐类型 【开发者自荐】我是一个独立开发者,这个软件由我一个人开发完成。 一句简介 AI Agent 浏览工具。通过你的真实浏览器读取任何页面。为… - ❓ #问题求助
求助,caddy无法更新证书了
https://meta.appinn.net/t/topic/85324小众软件官方论坛求助,caddy无法更新证书了之前一直正常使用的docker 版 caddy, 域名解析、证书更新一直正常,然后,偶然发现dnspod后台的记录,有一堆_acme-challenge 的txt记录,查了一下,发现caddy日志中提示更新证书失败。 因为之前是正常的,最早的_acme-challenge 是在4月份。想知道是什么原因导致的更新证书失败 😭 完全没有头绪。 caddy 是用的这个 GitHub - kkkgo/caddy-docker · GitHub ,它有dnspod 插件。 nas中配置了ddns记录,dnspod… - 📣 #发现频道
好玩又要用的奇伴拼图小程序
https://meta.appinn.net/t/topic/85321小众软件官方论坛好玩又要用的奇伴拼图小程序最近在开发一个叫「奇伴拼图」的小程序 一开始其实只是想做一个简单的拼图工具,但后来越做越发现一个很真实的问题: 现在很多拼图产品,其实只解决了一半需求。 想玩拼图放松的时候,搜出来的大多是偏“游戏”的产品; 想把照片拼一下发朋友圈,又得重新打开修图 App。 我自己经常在几个 App 之间来回切。 后来慢慢发现,这可能根本不是“两类用户”,而是同一个人在不同场景下的两种需求。 有时候只是想安静拼几分钟解压; 有时候只是想快速做一张好看的拼图发朋友圈。 所以后来「奇伴拼图」的方向,就慢慢变成了:… - 📣 #发现频道
一个开源的 SSH、数据库、K8s、Kafka 等服务器资产管理工具
https://meta.appinn.net/t/topic/85320小众软件官方论坛一个开源的 SSH、数据库、K8s、Kafka 等服务器资产管理工具平时操作服务器环境,经常要打开好几个工具来回切换,于是做了 OpsKat ,一个 All In One 的运维工具,将用到的需要管理的服务器资产集中起来,再也不用像之前一样,跳来跳去了。 另外还集成了 AI Agent 系统,让运维工作更加轻松。 为什么又造一个轮子 说实话市面上 SSH 工具、数据库客户端、Redis GUI 一抓一大把,但我自己的工作流大概是这样: Tabby 连 SSH DataGrip 看数据库 TinyRDM 看 Redis 偶尔还要翻一下 k8s 、grafana… - 📣 #发现频道
[开发者自荐/免费] 五金AI提示词盒子
https://meta.appinn.net/t/topic/85311小众软件官方论坛[开发者自荐/免费] 五金AI提示词盒子这两周我开发了一个新软件,主要是针对经常使用 AI 的用户需求做的。至于对你们有没有帮助,就看大家自己的使用习惯啦。 那么不多说了,我直接开始介绍。 介绍: 五金AI提示词盒子,是一个用于保存、分类和管理提示词的小工具。 比较适合经常使用 AI 写作、AI编程、AI绘图、办公处理这些用户,可以把常用提示词统一保存起来,避免每次都翻聊天记录、复制旧内容。 截图如下: 功能介绍: 保存常用提示词 按分类管理不同用途的提示词 快速复制提示词内容 方便整理 AI写… - 📣 #发现频道
Quick Search Pro : Mac 上的 Listary/everything,全局热键秒搜文件和应用,支持拼音搜索
https://meta.appinn.net/t/topic/85307小众软件官方论坛Quick Search Pro : Mac 上的 Listary/everything,全局热键秒搜文件和应用,支持拼音搜索软件名称 Quick Search Pro 应用平台 macOS 推荐类型 【开发者自荐】 一句简介 Mac 上的 Listary/everything — 全局热键秒搜文件和应用,支持拼音搜索,原生 Swift 开发,极致轻量。 应用简介 Quick Search Pro 是一款 macOS 原生文件快速搜索和启动工具,灵感来自 Windows 上的 Listary/everything。全局热键一键唤起搜索面板,输入关键词即时返回结果,回车即可打开。 核心功能: 全局热键唤起… - 📣 #发现频道
Markpad-一个轻量的Markdown编辑器阅读器
https://meta.appinn.net/t/topic/85297小众软件官方论坛Markpad-一个轻量的Markdown编辑器阅读器软件名称 Markpad – 极简 Markdown 编辑器 应用平台 Windows / macOS / Linux (同时提供 Web 版,支持 PWA) 推荐类型 【用户推荐】 应用简介 一款内存占用不到 10MB 的跨平台 Markdown 笔记本,内置 VS Code 同款编辑器、Vim 模式、Mermaid 图表与 LaTeX 支持。 功能: 编辑器核心 内置 Monaco 编辑器(VS Code 同款引擎) 支持 Vim 模式(适合键盘流用户) 多标签页界面,支持多任务切换… - 📣 #发现频道
【自荐】简单拼图——长截图或横向拼图PWA
https://meta.appinn.net/t/topic/85294小众软件官方论坛【自荐】简单拼图——支持横向拼接的长图PWA偶尔有长截图或横向拼图的需求,以前爱用的 PPIICC 在 Android 16 上频繁崩溃,其他拼图 App 往往主打「艺术化」的拼图模板,牺牲了自主裁切的功能,为了套模板只能削足适履。索性用 Gemini 自己搓了一个可以自主裁切的拼图工具。 功能以 PPIICC、Picsew、Tailor 为蓝本,只保留最核心的纵向/横向拼接长图,支持手动调整接缝以及整体裁切。代码完全基于浏览器前端,PWA可离线运行。 项目地址: P.S. 如果遇到 Bug 或操作指引不明确,欢迎留言反馈。功能建议也可… -
