CVE-2026-47124
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 29 — wyżej niż 29% wszystkich znanych CVE
Streszczenie
Nezha Monitoring w wersjach od 1.4.0 do przed 2.0.9 pozwala na dostęp do WebSocket z informacjami o statusie serwera przez uwierzytelnionych użytkowników niebędących administratorami. Użytkownicy ci mogą otrzymywać dane telemetryczne dotyczące wszystkich serwerów, w tym tych należących do innych użytkowników.
Ocena ryzyka
Organizacje mogą być narażone na wyciek danych telemetrycznych, co może prowadzić do naruszenia prywatności i bezpieczeństwa informacji. Umożliwienie nieautoryzowanego dostępu do danych serwerów innych użytkowników stwarza poważne zagrożenie dla integralności systemu.
Rekomendacja
Zaleca się aktualizację Nezha Monitoring do wersji 2.0.9 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt uprawnień użytkowników w systemie.
Oryginalny opis (angielski, źródło NVD)
Nezha Monitoring is a self-hostable, lightweight, servers and websites monitoring and O&M tool. From version 1.4.0 to before version 2.0.9, any authenticated non-admin member can connect to the server-status WebSocket and receive telemetry for all servers, including servers owned by other users. The normal server list API filters objects by HasPermission, but the WebSocket stream treats the presence of any authenticated user as authorization for the full unfiltered server list. This issue has been patched in version 2.0.9.

