Dashboard 的 NoRoute 处理程序（fallbackToFrontend）使用 strings.HasPrefix(c.Request.URL.Path, "/dashboard") 来判断是否为前端静态资源请求。该判断是字符串前缀匹配而非路径段匹配，导致 /dashboard../xxx 也能绕过。
后续通过 strings.TrimPrefix + path.Join 处理路径时，.. 被规范化，允许攻击者跳出 admin-dist 目录，读取工作目录下的任意文件。Go 的 http.ServeFile 内置 .. 防护对这种“前缀粘连”绕过无效。

curl --path-as-is 'http://target:port/dashboard../data/config.yaml'  

#参考
/dashboard%2e%2e/data/config.yaml
/dashboard..%2fdata/config.yaml

立即升级到 2.0.13 或更高版本，并检查历史 jwt_secret_key 是否泄露（建议轮换密钥）

SpaceX将以600亿美元收购Cursor母公司

中国居民存款连续两个月合计减少逾2万亿元（人民币，下同，3792亿新元），创下近10年来最大规模的“两连降”。分析认为，这轮“存款搬家”主要受高利率定期存款集中到期、续存利率降至历史低位等因素推动，大量资金开始流向理财、基金和保险等收益相对较高的产品。

综合《21世纪经济报道》和第一财经报道，中国央行数据显示，今年4月和5月居民存款连续两个月合计减少2.05万亿元；同期，以理财、基金、保险为代表的非银金融机构存款增加3.61万亿元，显示居民资产配置正加速从传统存款转向其他金融产品。

中国国家金融与发展实验室副主任曾刚指出，本轮“存款搬家”是两大因素共同作用的结果。一方面，2023年至2024年间，居民锁定了大量三年期和五年期高息定期存款，这些存款在今年第二季度迎来集中到期。据多家机构测算，2026年到期的居民定期存款规模高达50万亿元至75万亿元，处于近年来峰值。

另一方面，存款利率持续下行削弱续存吸引力。2023年，中国大型国有银行三年期定存挂牌利率普遍在2.6%至2.8%之间，而到2026年初已降至1.25%。

与此同时，理财等替代产品的收益优势逐渐显现。华源证券数据显示，4月理财公司固定收益类理财和纯固定收益理财产品平均年化收益率分别达到3.42%和2.71%，明显高于大型国有银行不足1%的一年期定存挂牌利率。

此外，资本市场回暖也对居民资金流向产生影响。随着股市反弹，部分资金重新进入权益市场；一些居民选择提前偿还房贷、降低家庭杠杆，也带动存款规模下降。

本轮资金迁移并未大规模流向高风险资产，而是呈现“分散化、低风险化”特征，要流向银行理财、货币基金、债券基金和储蓄型保险等固定收益类产品。不过，相较稳定性较高的居民定期存款，流向理财等产品的资金期限较短，对收益率和市场情绪变化更敏感，可能增加银行流动性管理压力。