Katalog CVE

CVE-2026-53522

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

Nezha Monitoring w wersjach od 1.0.0 do przed 2.2.0 ma lukę, która pozwala na tworzenie długoterminowych strumieni WebSocket bez ograniczeń. Dwa punkty końcowe, POST /api/v1/terminal i POST /api/v1/file, nie mają limitów użytkowników ani połączeń serwerowych.

Ocena ryzyka

Brak ograniczeń w liczbie połączeń może prowadzić do przeciążenia serwera, co zagraża dostępności usługi. Atakujący może wykorzystać tę lukę do zablokowania zasobów serwera.

Rekomendacja

Zaleca się aktualizację do wersji 2.2.0 lub nowszej, aby usunąć tę podatność. Dodatkowo warto wprowadzić mechanizmy ograniczające liczbę połączeń dla użytkowników i serwerów.

Oryginalny opis (angielski, źródło NVD)

Nezha Monitoring is a self-hostable, lightweight, servers and websites monitoring and O&M tool. From version 1.0.0 to before version 2.2.0, the Nezha dashboard exposes two endpoints that create long-lived WebSocket streams to monitored agents: POST /api/v1/terminal → createTerminal() (terminal.go:27-67) and POST /api/v1/file → createFM() (fm.go:28-67). Both call rpc.NezhaHandlerSingleton.CreateStream(streamId, ...) which inserts a new ioStreamContext into an unbounded map[string]*ioStreamContext (s.ioStreams in io_stream.go:59-67). There is no per-user rate limit, no global semaphore, and no per-server connection cap. This issue has been patched in version 2.2.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS