CVE-2026-59155 in Nezha
Resumen
por VulDB • 2026-07-11
Nezha Monitoring es una herramienta de monitorización y operaciones (O&M) para servidores y sitios web, autoalojable y ligera. Antes de la versión 2.2.5, los puntos finales GET /api/v1/ddns y GET /api/v1/notification devuelven objetos completos del recurso que incluyen credenciales de API de terceros en texto plano, como tokens de API de Cloudflare, SecretKeys de TencentCloud, URLs de webhook de Slack, Discord y Telegram con bot tokens integrados, así como valores del encabezado Authorization, sin ninguna ofuscación a nivel de campo. Cualquier administrador autenticado o PAT (Personal Access Token) con el ámbito nezha:ddns:read o nezha:notification:read puede recibir las credenciales almacenadas a través de los manejadores listDDNS y listNotification en una única respuesta API. Este problema se corrige en la versión 2.2.5.
If you want to get best quality of vulnerability data, you may have to visit VulDB.