Merge branch 'hotfix/2.4.4'

2026-06-24 01:03:42 +08:00 · 2026-06-23 11:46:41 +08:00
parent 5380f4c412 e21e329d42
commit 6d67e5a76a
4 changed files with 10 additions and 4 deletions
--- a/BillNote_frontend/src-tauri/tauri.conf.json
+++ b/BillNote_frontend/src-tauri/tauri.conf.json
@@ -1,7 +1,7 @@
 {
  "$schema": "../node_modules/@tauri-apps/cli/config.schema.json",
  "productName": "BiliNote",
-  "version": "2.4.3",
+  "version": "2.4.4",
  "identifier": "com.jefferyhuang.bilinote",
  "build": {
    "frontendDist": "../dist",
--- a/CHANGELOG.md
+++ b/CHANGELOG.md
@@ -2,6 +2,12 @@

 本项目所有重要变更记录于此。格式参考 [Keep a Changelog](https://keepachangelog.com/zh-CN/1.1.0/)，遵循 [语义化版本](https://semver.org/lang/zh-CN/)。

+## [2.4.4] - 2026-06-23
+
+### Security
+
+- **升级 Starlette 0.46.1 → 0.47.2 修复 CVE-2025-54121**（[GHSA-2c2j-9gv5-cj73](https://github.com/advisories/GHSA-2c2j-9gv5-cj73)，#411）：旧版在解析 multipart 表单中的大文件时，`SpooledTemporaryFile` 从内存溢写到磁盘的 rollover 在事件循环线程内**同步执行**，攻击者可借大文件上传阻塞事件循环造成拒绝服务（DoS）。新版把该写入移到线程池。FastAPI 同步升级 0.115.12 → 0.116.2（其 starlette 约束由 `<0.47.0` 放宽，以容纳修复版本），与现有 pydantic / anyio / python-multipart 均兼容。
+
 ## [2.4.3] - 2026-06-23

 ### Fixed
--- a/README.md
+++ b/README.md
@@ -3,7 +3,7 @@
    <p align="center">
  <img src="./doc/icon.svg" alt="BiliNote Banner" width="50" height="50"  />
 </p>
-<h1 align="center" > BiliNote v2.4.3</h1>
+<h1 align="center" > BiliNote v2.4.4</h1>
 </div>

 <p align="center"><i>AI 视频笔记生成工具 让 AI 为你的视频做笔记</i></p>
--- a/backend/requirements.txt
+++ b/backend/requirements.txt
@@ -29,7 +29,7 @@ distro==1.9.0
 dnspython==2.7.0
 email_validator==2.2.0
 exceptiongroup==1.2.2
-fastapi==0.115.12
+fastapi==0.116.2
 fastapi-cli==0.0.7
 faster-whisper==1.1.1
 ffmpeg-python==0.2.0
@@ -102,7 +102,7 @@ shellingham==1.5.4
 six==1.17.0
 sniffio==1.3.1
 soupsieve==2.7
-starlette==0.46.1
+starlette==0.47.2
 sympy==1.13.1
 SQLAlchemy==2.0.41
 tenacity==9.1.2