哪吒探针高危漏洞引发主机圈恐慌
知名开源服务器监控工具 Nezha(哪吒探针)近期被披露存在高危的未授权目录遍历漏洞(
该漏洞源于后端路由的匹配缺陷。攻击者可以越权读取服务器工作目录下的任意文件。能直接下载包含核心密钥的 config.yaml 文件及 SQLite 数据库。在获取 JWT 密钥和管理员 ID 后,攻击者可自行伪造合法的管理员 Session 并无感登入后台,获得对所有服务器、用户及定时任务的最高读写权限。官方已紧急发布 2.0.13 版本修复此问题。
由于哪吒探针在中文主机圈中装机量很大,因此影响范围极大,DMIT等主机运营商已发布警告,建议用户立即采取措施。
知名开源服务器监控工具 Nezha(哪吒探针)近期被披露存在高危的未授权目录遍历漏洞(
CVE-2026-53519,CVSS评分高达 9.1)。该漏洞影响 2.0.13 之前的版本,攻击者无需任何权限,即可实现对管理员面板的完全接管。该漏洞源于后端路由的匹配缺陷。攻击者可以越权读取服务器工作目录下的任意文件。能直接下载包含核心密钥的 config.yaml 文件及 SQLite 数据库。在获取 JWT 密钥和管理员 ID 后,攻击者可自行伪造合法的管理员 Session 并无感登入后台,获得对所有服务器、用户及定时任务的最高读写权限。官方已紧急发布 2.0.13 版本修复此问题。
由于哪吒探针在中文主机圈中装机量很大,因此影响范围极大,DMIT等主机运营商已发布警告,建议用户立即采取措施。
