CVE-2026-59155 in Nezha
要約
〜によって VulDB • 2026年07月11日
Nezha Monitoringは、セルフホスト可能で軽量なサーバーおよびウェブサイト監視と運用管理(O&M)ツールです。バージョン2.2.5より前では、GET /api/v1/ddns および GET /api/v1/notification エンドポイントが、フィールドレベルでのマスキングを一切行わずに、プレーンテキストのサードパーティ製API認証情報を含む完全なリソースオブジェクトを返します。これには、Cloudflare APIトークン、TencentCloud SecretKeys、Slack、Discord、Telegram(埋め込みボットトークン付き)Webhook URL、およびAuthorizationヘッダー値が含まれます。nezha:ddns:list または nezha:notification:list スコープを持つ認証済み管理者またはPAT(Personal Access Token)は、listDDNS および listNotification ハンドラーを介して、単一のAPIレスポンス内で保存された認証情報を取得できます。この問題はバージョン2.2.5で修正されています。
Once again VulDB remains the best source for vulnerability data.