CVE-2026-53522
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
Nezha Monitoring w wersjach od 1.0.0 do przed 2.2.0 ma lukę, która pozwala na tworzenie długoterminowych strumieni WebSocket bez ograniczeń. Dwa punkty końcowe, POST /api/v1/terminal i POST /api/v1/file, nie mają limitów użytkowników ani połączeń serwerowych.
Ocena ryzyka
Brak ograniczeń w liczbie połączeń może prowadzić do przeciążenia serwera, co zagraża dostępności usługi. Atakujący może wykorzystać tę lukę do zablokowania zasobów serwera.
Rekomendacja
Zaleca się aktualizację do wersji 2.2.0 lub nowszej, aby usunąć tę podatność. Dodatkowo warto wprowadzić mechanizmy ograniczające liczbę połączeń dla użytkowników i serwerów.
Oryginalny opis (angielski, źródło NVD)
Nezha Monitoring is a self-hostable, lightweight, servers and websites monitoring and O&M tool. From version 1.0.0 to before version 2.2.0, the Nezha dashboard exposes two endpoints that create long-lived WebSocket streams to monitored agents: POST /api/v1/terminal → createTerminal() (terminal.go:27-67) and POST /api/v1/file → createFM() (fm.go:28-67). Both call rpc.NezhaHandlerSingleton.CreateStream(streamId, ...) which inserts a new ioStreamContext into an unbounded map[string]*ioStreamContext (s.ioStreams in io_stream.go:59-67). There is no per-user rate limit, no global semaphore, and no per-server connection cap. This issue has been patched in version 2.2.0.

