Katalog CVE

CVE-2026-46717

WysokieCVSS 7.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 29 - wyżej niż 29% wszystkich znanych CVE

Streszczenie

Nezha Monitoring to narzędzie do monitorowania serwerów i stron internetowych, które w wersjach od 1.4.0 do przed 2.0.8 pozwala użytkownikom z rolą RoleMember na wywoływanie nieautoryzowanych żądań HTTP. W wyniku tego, użytkownicy mogą wysyłać żądania do kontrolowanych przez siebie adresów URL i odbierać odpowiedzi, co stwarza ryzyko ujawnienia danych.

Ocena ryzyka

Organizacja może być narażona na ataki typu SSRF (Server-Side Request Forgery), co może prowadzić do ujawnienia wrażliwych informacji lub umożliwić atakującym dostęp do wewnętrznych zasobów sieciowych.

Rekomendacja

Zaleca się aktualizację Nezha Monitoring do wersji 2.0.8 lub nowszej, aby zlikwidować tę podatność. Dodatkowo, warto przeanalizować i ograniczyć uprawnienia użytkowników z rolą RoleMember.

Oryginalny opis (angielski, źródło NVD)

Nezha Monitoring is a self-hostable, lightweight, servers and websites monitoring and O&M tool. From version 1.4.0 to before version 2.0.8, nezha's dashboard supports two user roles: RoleAdmin (Role==0) and RoleMember (Role==1). The notification routes POST /api/v1/notification and PATCH /api/v1/notification/:id are wired through commonHandler rather than adminHandler — so a RoleMember user can call them. These handlers synchronously Send() an HTTP request to a user-controlled URL and reflect the entire response body (no size limit) back to the caller on any non-2xx response. This issue has been patched in version 2.0.8.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS