110.42.44.59:8008 [安全公告] 哪吒面板存在多个高危漏洞
一、漏洞概况
哪吒面板( Nezha Dashboard )被披露存在多个高危漏洞,其中最严重的 CVE-2026-53519 (未授权路径穿越) CVSS 评分 9.1 ,影响 v2.0.13 以下所有版本。攻击者无需登录即可读取配置文件,获取 JWT 密钥并完全控制面板。
CVE-2026-53519 无需认证即可利用,风险极高。监测显示该漏洞已出现在野利用,请相关用户务必尽快完成修复。
此外还存在: CVE-2026-46716:普通用户权限提升 → 远程命令执行 CVE-2026-46717:SSRF 内网探测 CVE-2026-49396:CSRF 攻击
二、漏洞影响范围
所有 v2.0.13 以下版本。
三、修复方案
立即升级至 v2.0.13 或更高版本; 更换 jwt_secret_key 并重新生成所有 JWT 凭证; 检查 config.yaml 是否被非法读取,审计日志和用户权限; 升级完成前,限制面板公网访问。
我的客户已经出现很多客户中招了 被拿来发包 有用这个的火速处理
Select Language