https://blog.qife122.com/tags/weknora/ Recent content in WeKnora on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 17:22:53 +0800 https://blog.qife122.com/p/%E8%85%BE%E8%AE%AFweknora%E6%A1%86%E6%9E%B6%E6%9B%9D%E9%AB%98%E5%8D%B1%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9Ecve-2026-22688%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ Mon, 12 Jan 2026 17:22:53 +0800 https://blog.qife122.com/p/%E8%85%BE%E8%AE%AFweknora%E6%A1%86%E6%9E%B6%E6%9B%9D%E9%AB%98%E5%8D%B1%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9Ecve-2026-22688%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90/ <h1 id="cve-2026-22688腾讯weknora中的命令注入漏洞">CVE-2026-22688：腾讯WeKnora中的命令注入漏洞</h1> <p><strong>严重性：</strong> 严重 <strong>类型：</strong> 漏洞 <strong>CVE：</strong> CVE-2026-22688</p> <h2 id="描述">描述</h2> <p>WeKnora是一个由大语言模型（LLM）驱动的框架，专为深度文档理解和语义检索而设计。在0.2.5版本之前，存在一个命令注入漏洞，允许经过身份验证的用户将恶意命令或参数注入到<code>stdio_config.command</code>或<code>stdio_config.args</code>中，并传递到MCP（多进程控制器）的标准输入/输出设置中，导致服务器使用这些注入的值执行子进程。此问题已在0.2.5版本中修复。</p> https://blog.qife122.com/p/%E8%85%BE%E8%AE%AFweknora%E6%A1%86%E6%9E%B6%E6%9B%9D%E9%AB%98%E5%8D%B1%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9Ecve-2026-22688cvss%E8%AF%84%E5%88%8610.0/ Sun, 11 Jan 2026 11:51:59 +0800 https://blog.qife122.com/p/%E8%85%BE%E8%AE%AFweknora%E6%A1%86%E6%9E%B6%E6%9B%9D%E9%AB%98%E5%8D%B1%E5%91%BD%E4%BB%A4%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9Ecve-2026-22688cvss%E8%AF%84%E5%88%8610.0/ <h1 id="cve-2026-22688tencent-weknora-中的命令注入漏洞cwe-77">CVE-2026-22688：Tencent WeKnora 中的命令注入漏洞（CWE-77）</h1> <p><strong>严重等级：严重</strong> <strong>类型：漏洞</strong> <strong>CVE：CVE-2026-22688</strong></p> <p>WeKnora 是一个由大语言模型（LLM）驱动的框架，专为深度文档理解和语义检索而设计。在 0.2.5 版本之前，存在一个命令注入漏洞，允许经过身份验证的用户将恶意构造的 <code>stdio_config.command</code> 或 <code>stdio_config.args</code> 参数注入到 MCP（多进程控制器）的标准输入/输出设置中，导致服务器使用这些注入的值执行子进程。该问题已在 0.2.5 版本中修复。</p>