张小明
前端开发工程师
CVSS评分:6.1
由于static.go在处理静态资源重定向逻辑时,未对原始URL路径进行处理,导致可以通过重定向到托管将执行任意 JavaScript 的前端插件的网站,执行恶意的js文件,导致跨站脚本漏洞形成
如果安装了 Grafana Image Renderer 插件,攻击者甚至可将开放重定向用于服务器端请求伪造(SSRF),允许读取内部服务数据
该漏洞的最大危害在于,在某些条件下,可以实现伪造服务器端请求 (SSRF),需要进一步做漏洞验证
微步为低风险,一般内网资产不需要关注此漏洞
官方补丁已发布于 2025-05-21 / 05-23,包含修复 CVE-2025-4123 的多个版本
Notion文档转HeyGem视频脚本?Markdown转换法 在内容爆炸的时代,企业、教育机构甚至个人创作者都在寻找更高效的内容生产方式。想象这样一个场景:你刚在 Notion 里写完一篇产品说明文档,下一秒就想把它变成一段由数字人讲解的短视频…
李华
剪映导出的视频能作为HeyGem输入吗?完全兼容 在内容创作进入“AI工业化”的今天,越来越多的创作者开始尝试用数字人技术批量生成讲解视频、课程片段和产品宣传素材。一个常见的工作场景是:先在剪映中拍摄并剪辑好人物画面——调整构图、添加字…
李华
HeyGem 左侧列表管理:删除选中视频文件功能深度解析 在现代 AI 驱动的数字人视频生成系统中,用户操作的灵活性与容错能力往往决定了工具的实际可用性。尤其是在批量处理场景下,一次误传可能导致后续多个任务浪费计算资源。HeyGem 作为一款面向…
李华
GitHub Actions能否调用HeyGem API?CI/CD集成探索 在内容更新节奏日益加快的今天,企业对自动化生产的需求早已不止于代码构建与部署。教育机构需要频繁发布讲解视频,营销团队要快速迭代产品演示,客服系统则依赖标准化的应答视频—…
李华
少数民族语言适配进展?HeyGem后续版本规划 在边疆地区的中小学课堂上,教师用普通话讲解完一段科学知识后,学生却仍面露困惑——不是因为内容太难,而是语言隔阂让理解打了折扣。类似场景在全国多民族聚居区并不鲜见。当AI数字人技术…
李华
随着大模型在企业场景中的广泛应用,RAG(检索增强生成)已成为连接私有知识与智能问答的核心桥梁。然而,许多团队发现:即使使用顶尖大模型,RAG的回答仍常出现信息缺失、答非所问甚至“一本正经地胡说八道”。…
李华