CVE-2026-59155 in NezhaИнформация

Сводка

по VulDB • 11.07.2026

Nezha Monitoring — это легковесный инструмент для мониторинга и эксплуатации (O&M) серверов и веб-сайтов, который можно развернуть на собственном хосте. До версии 2.2.5 конечные точки GET /api/v1/ddns и GET /api/v1/notification возвращают полные объекты ресурсов, включая учетные данные сторонних API в открытом виде (plaintext), такие как токены Cloudflare API, ключи секрета TencentCloud SecretKeys, URL-адреса вебхуков Slack, Discord и Telegram со встроенными бот-токенами, а также значения заголовка Authorization, без какой-либо маскировки на уровне полей. Любой авторизованный администратор или PAT (Personal Access Token) с областью видимости nezha:ddns:read или nezha:notification:read может получить сохраненные учетные данные через обработчики listDDNS и listNotification в одном ответе API. Эта проблема исправлена в версии 2.2.5.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

GitHub M

Резервировать

02.07.2026

Раскрытие

11.07.2026

Модерация

принято

Вход

VDB-377713

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!