CVE-2026-59155 in Nezhainformación

Resumen

por VulDB • 2026-07-11

Nezha Monitoring es una herramienta de monitorización y operaciones (O&M) para servidores y sitios web, autoalojable y ligera. Antes de la versión 2.2.5, los puntos finales GET /api/v1/ddns y GET /api/v1/notification devuelven objetos completos del recurso que incluyen credenciales de API de terceros en texto plano, como tokens de API de Cloudflare, SecretKeys de TencentCloud, URLs de webhook de Slack, Discord y Telegram con bot tokens integrados, así como valores del encabezado Authorization, sin ninguna ofuscación a nivel de campo. Cualquier administrador autenticado o PAT (Personal Access Token) con el ámbito nezha:ddns:read o nezha:notification:read puede recibir las credenciales almacenadas a través de los manejadores listDDNS y listNotification en una única respuesta API. Este problema se corrige en la versión 2.2.5.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-07-02

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377713

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!