Katalog CVE

CVE-2026-53519

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 — wyżej niż 30% wszystkich znanych CVE

Streszczenie

Nezha Monitoring przed wersją 2.0.13 ma lukę w obsłudze NoRoute w dashboardzie, która pozwala na dostęp do zasobów administracyjnych bez autoryzacji. Wykorzystując nieprawidłowe sprawdzenie prefiksu URL, atakujący może uzyskać dostęp do plików systemowych.

Ocena ryzyka

Brak autoryzacji w dostępie do zasobów administracyjnych stwarza poważne ryzyko dla bezpieczeństwa, umożliwiając atakującym dostęp do wrażliwych danych i konfiguracji systemu.

Rekomendacja

Zaleca się aktualizację do wersji 2.0.13 lub nowszej, aby usunąć tę lukę oraz wdrożenie dodatkowych mechanizmów autoryzacji dla zasobów administracyjnych.

Oryginalny opis (angielski, źródło NVD)

Nezha Monitoring is a self-hostable, lightweight, servers and websites monitoring and O&M tool. Prior to version 2.0.13, fallbackToFrontend in the dashboard's NoRoute handler treats any URL whose raw string starts with /dashboard as an admin-frontend asset request. The check uses strings.HasPrefix, not a path-segment match, so the input /dashboard../data/config.yaml is accepted; strings.TrimPrefix leaves ../data/config.yaml; and path.Join("admin-dist", "../data/config.yaml") normalizes to data/config.yaml — which os.Stat finds and http.ServeFile returns. No authentication required. This issue has been patched in version 2.0.13.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS