Katalog CVE

CVE-2026-53523

ŚrednieCVSS 6.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

Nezha Monitoring w wersjach od 1.0.0 do przed 2.2.0 ma lukę w funkcji getRedirectURL, która tworzy URL zwrotny OAuth2 bez walidacji nagłówka Host. Może to prowadzić do wstrzyknięcia nagłówka hosta.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do przejęcia sesji użytkowników lub przekierowania ich do złośliwych stron. To stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych użytkowników.

Rekomendacja

Zaleca się aktualizację Nezha Monitoring do wersji 2.2.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć dodatkowe mechanizmy walidacji nagłówków w aplikacji.

Oryginalny opis (angielski, źródło NVD)

Nezha Monitoring is a self-hostable, lightweight, servers and websites monitoring and O&M tool. From version 1.0.0 to before version 2.2.0, the getRedirectURL function in oauth2.go:22-29 constructs the OAuth2 callback URL by concatenating the request's Host header with a fixed path, with zero validation of the Host header. This can result in host header injection. This issue has been patched in version 2.2.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS