CVE-2026-59155 in Nezha
요약
\~에 의해 VulDB • 2026. 07. 11.
Nezha Monitoring은 자체 호스팅이 가능한 경량 서버 및 웹사이트 모니터링 및 운영 관리(O&M) 도구입니다. 버전 2.2.5 이전에서는 `GET /api/v1/ddns` 및 `GET /api/v1/notification` 엔드포인트가 필드 수준의 마스킹 없이 평문 제3자 API 자격 증명을 포함한 전체 리소스 객체를 반환합니다. 여기에는 Cloudflare API 토큰, TencentCloud SecretKeys, Slack, Discord, Telegram 웹훅 URL(임베디된 봇 토큰 포함) 및 Authorization 헤더 값이 포함됩니다. `nezha:ddns:read` 또는 `nezha:notification:read` 범위를 가진 인증된 관리자나 PAT(Personal Access Token)는 단일 API 응답을 통해 listDDNS 및 listNotification 핸들러를 통해 저장된 자격 증명을 수신할 수 있습니다. 이 문제는 버전 2.2.5에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.