CVE-2026-53519
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 — wyżej niż 30% wszystkich znanych CVE
Streszczenie
Nezha Monitoring przed wersją 2.0.13 ma lukę w obsłudze NoRoute w dashboardzie, która pozwala na dostęp do zasobów administracyjnych bez autoryzacji. Wykorzystując nieprawidłowe sprawdzenie prefiksu URL, atakujący może uzyskać dostęp do plików systemowych.
Ocena ryzyka
Brak autoryzacji w dostępie do zasobów administracyjnych stwarza poważne ryzyko dla bezpieczeństwa, umożliwiając atakującym dostęp do wrażliwych danych i konfiguracji systemu.
Rekomendacja
Zaleca się aktualizację do wersji 2.0.13 lub nowszej, aby usunąć tę lukę oraz wdrożenie dodatkowych mechanizmów autoryzacji dla zasobów administracyjnych.
Oryginalny opis (angielski, źródło NVD)
Nezha Monitoring is a self-hostable, lightweight, servers and websites monitoring and O&M tool. Prior to version 2.0.13, fallbackToFrontend in the dashboard's NoRoute handler treats any URL whose raw string starts with /dashboard as an admin-frontend asset request. The check uses strings.HasPrefix, not a path-segment match, so the input /dashboard../data/config.yaml is accepted; strings.TrimPrefix leaves ../data/config.yaml; and path.Join("admin-dist", "../data/config.yaml") normalizes to data/config.yaml — which os.Stat finds and http.ServeFile returns. No authentication required. This issue has been patched in version 2.0.13.

