Home Sign Up Sign In
qwertooo

哪吒监控严重漏洞 CVE-2026-53519

  •   
  •   qwertooo · 10 days ago · 1881 views

    哪吒监控面板爆严重漏洞( CVSS 9.1 ) CVE-2026-53519 ,影响低于 2.0.13 所有版本

    代码在判断 URL 是否为前端静态资源请求时,错误地使用了 strings.HasPrefix (简单子字符串前缀匹配)而非严格的路径段匹配。攻击者可通过构造特殊的 URL (如 /dashboard../data/config.yaml )绕过安全检查,利用路径遍历读取服务器上的敏感配置文件

    无需任何身份验证,攻击者可获取配置文件中的 jwt_secret_key 。利用该密钥,攻击者可伪造管理员 JWT ,实现对整个监控仪表盘的完全控制

    https://github.com/nezhahq/nezha/security/advisories/GHSA-5c25-7vpj-9mqh https://nvd.nist.gov/vuln/detail/CVE-2026-53519

    Supplement 1  ·  10 days ago
    还有一个评分 9.9 的 RCE 漏洞 CVE-2026-46716
    https://github.com/nezhahq/nezha/security/advisories/GHSA-99gv-2m7h-3hh9
    https://nvd.nist.gov/vuln/detail/CVE-2026-46716
    https://github.com/HAERIN-L/POC_CVE-2026-46716
  • 漏洞
  • 哪吒
  • 配置文件
    2 replies    2026-06-21 21:53:55 +08:00
    lizhien
        1
    lizhien  
       10 days ago
    我 c, 赶紧升级
    spediacn
        2
    spediacn  
       5 days ago via iPhone
    哪吒居然也有 CVE 前缀了
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3065 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 06:18 · PVG 14:18 · LAX 23:18 · JFK 02:18
    ♥ Do have faith in what you're doing.