Home Sign Up Sign In
qwertooo

哪吒监控严重漏洞 CVE-2026-53519

  •   
  •   qwertooo · 20h 27m ago · 1348 views

    哪吒监控面板爆严重漏洞( CVSS 9.1 ) CVE-2026-53519 ,影响低于 2.0.13 所有版本

    代码在判断 URL 是否为前端静态资源请求时,错误地使用了 strings.HasPrefix (简单子字符串前缀匹配)而非严格的路径段匹配。攻击者可通过构造特殊的 URL (如 /dashboard../data/config.yaml )绕过安全检查,利用路径遍历读取服务器上的敏感配置文件

    无需任何身份验证,攻击者可获取配置文件中的 jwt_secret_key 。利用该密钥,攻击者可伪造管理员 JWT ,实现对整个监控仪表盘的完全控制

    https://github.com/nezhahq/nezha/security/advisories/GHSA-5c25-7vpj-9mqh https://nvd.nist.gov/vuln/detail/CVE-2026-53519

    Supplement 1  ·  7h 57m ago
    还有一个评分 9.9 的 RCE 漏洞 CVE-2026-46716
    https://github.com/nezhahq/nezha/security/advisories/GHSA-99gv-2m7h-3hh9
    https://nvd.nist.gov/vuln/detail/CVE-2026-46716
    https://github.com/HAERIN-L/POC_CVE-2026-46716
  • 漏洞
  • 哪吒
  • 配置文件
    1 replies    2026-06-17 10:59:12 +08:00
    lizhien
        1
    lizhien  
       6h 44m ago
    我 c, 赶紧升级
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   4880 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 09:43 · PVG 17:43 · LAX 02:43 · JFK 05:43
    ♥ Do have faith in what you're doing.