Home Sign Up Sign In
qwertooo

哪吒监控严重漏洞 CVE-2026-53519

  •   
  •   qwertooo · 4h 26m ago · 423 views

    哪吒监控面板爆严重漏洞( CVSS 9.1 ) CVE-2026-53519 ,影响低于 2.0.13 所有版本

    代码在判断 URL 是否为前端静态资源请求时,错误地使用了 strings.HasPrefix (简单子字符串前缀匹配)而非严格的路径段匹配。攻击者可通过构造特殊的 URL (如 /dashboard../data/config.yaml )绕过安全检查,利用路径遍历读取服务器上的敏感配置文件

    无需任何身份验证,攻击者可获取配置文件中的 jwt_secret_key 。利用该密钥,攻击者可伪造管理员 JWT ,实现对整个监控仪表盘的完全控制

    https://github.com/nezhahq/nezha/security/advisories/GHSA-5c25-7vpj-9mqh https://nvd.nist.gov/vuln/detail/CVE-2026-53519

    No Comments Yet
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1202 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 17:43 · PVG 01:43 · LAX 10:43 · JFK 13:43
    ♥ Do have faith in what you're doing.