目前只支持 main 分支的最新一个 release tag。历史版本的安全修复不回移。遇到安全问题,请先升级到最新版确认是否已修复。
WeLink 是本地优先应用,典型攻击面:
- 后端 HTTP API 被局域网 / 公网非预期暴露
- OAuth 回调被劫持
preferences.json里的 API Key / OAuth refresh token 泄露- 微信解密数据被路径穿越或 SSRF 读出
- 供应链:上游依赖被污染
如果你发现了这类问题(或任何你认为是漏洞的),请不要开公开 Issue。按以下任一方式私密反馈:
→ https://github.com/runzhliu/welink/security/advisories/new
这个渠道会创建加密、仅维护者可见的 thread,我们可以在修复和披露前安全协作。
→ [填项目维护者邮箱]
邮件请包含:
- 漏洞类型(XSS / CSRF / RCE / 信息泄露 / 权限提升 等)
- 能复现的最小步骤 / PoC
- 受影响的版本
- 你认为的影响程度和可能的修复方向
- 48 小时内:确认收到
- 7 天内:初步评估(是否接受 / 严重程度)
- 30 天内:修复并发布,或给出明确的时间表
我们会和报告者协商:
- 漏洞修复后,CVE 编号(如适用)+ 发布 release 说明
- 在 安全公告 页面致谢(除非你要求匿名)
- 不会未经报告者同意就提前公开技术细节
以下不是漏洞,请不要作为安全问题报告:
- 后端默认无登录鉴权:WeLink 是单用户本地工具,默认就假设唯一用户。见 FAQ · 同事在局域网里能访问吗?
- "锁屏 PIN 只是视觉锁不是数据加密":文档里明确声明,真需要防物理入侵请用 FileVault / BitLocker
- Docker 镜像在公网部署被未授权访问:这是部署问题,不是软件漏洞
- 调试端口 / 开发模式暴露:这是配置问题
感谢所有负责任披露漏洞的安全研究者!发现的漏洞及致谢会在这里列出: