哪吒监控(Nezha)v2.0.13 以下版本存在严重未授权路径穿越漏洞,编号 CVE-2026-53519,CVSS 评分为 9.1 属高危级别。攻击者通过构造 GET 请求(如 /dashboard../data/config.yaml)即可读取配置文件,获取其中的 JWT 密钥。 Github
半个月之前的慢讯
@Uevrmw #1
哦,原来我被入侵半个月了
@DUNAI #2 哪吒频道在发布这个漏洞前就发了公告让更新,然后发了这个漏洞,刚发的一两天ns上有人发的但是引起注意好像比较小,这两天不知道为啥ns上很多人都发
@DUNAI #2 6
前面有反代就没事,nezha这种有黑历史的,已经不相信他们的团队了,我都用v0的分支了,
@hashcat #5 V0现在有那些可靠的分支吗?老版本功能确实不太够了
@hashcat #5 请问有什么黑历史呀
我的小鸡都被插眼了,呜呜呜!
@bvuaef29 #7
比如更新v1直接把镜像替换了但是v1的数据库不兼容v0,有不少人直接pull了,直接爆破数据库,后来是把v0恢复了但也不更新了
@sam233 #6
https://github.com/railzen/nezha-zero