CVE-2026-59155 in Nezha
Sumário
de VulDB • 11/07/2026
O Nezha Monitoring é uma ferramenta de monitoramento e operações (O&M) para servidores e sites, leve e auto-hospedável. Antes da versão 2.2.5, os endpoints GET /api/v1/ddns e GET /api/v1/notification retornam objetos completos de recursos que incluem credenciais de APIs de terceiros em texto puro, como tokens de API do Cloudflare, SecretKeys da TencentCloud, URLs de webhook do Slack, Discord e Telegram com bot tokens embutidos, além dos valores do cabeçalho Authorization, sem qualquer redação no nível dos campos. Qualquer administrador autenticado ou PAT (Personal Access Token) com escopo nezha:ddns:read ou nezha:notification:read pode receber credenciais armazenadas por meio dos manipuladores listDDNS e listNotification em uma única resposta de API. Este problema foi corrigido na versão 2.2.5.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.