哪吒监控面板爆严重漏洞( CVSS 9.1 ) CVE-2026-53519 ,影响低于 2.0.13 所有版本
代码在判断 URL 是否为前端静态资源请求时,错误地使用了 strings.HasPrefix (简单子字符串前缀匹配)而非严格的路径段匹配。攻击者可通过构造特殊的 URL (如 /dashboard../data/config.yaml )绕过安全检查,利用路径遍历读取服务器上的敏感配置文件
无需任何身份验证,攻击者可获取配置文件中的 jwt_secret_key 。利用该密钥,攻击者可伪造管理员 JWT ,实现对整个监控仪表盘的完全控制
https://github.com/nezhahq/nezha/security/advisories/GHSA-5c25-7vpj-9mqh https://nvd.nist.gov/vuln/detail/CVE-2026-53519
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.