CVE-2026-59155 in Nezha
Сводка
по VulDB • 11.07.2026
Nezha Monitoring — это легковесный инструмент для мониторинга и эксплуатации (O&M) серверов и веб-сайтов, который можно развернуть на собственном хосте. До версии 2.2.5 конечные точки GET /api/v1/ddns и GET /api/v1/notification возвращают полные объекты ресурсов, включая учетные данные сторонних API в открытом виде (plaintext), такие как токены Cloudflare API, ключи секрета TencentCloud SecretKeys, URL-адреса вебхуков Slack, Discord и Telegram со встроенными бот-токенами, а также значения заголовка Authorization, без какой-либо маскировки на уровне полей. Любой авторизованный администратор или PAT (Personal Access Token) с областью видимости nezha:ddns:read или nezha:notification:read может получить сохраненные учетные данные через обработчики listDDNS и listNotification в одном ответе API. Эта проблема исправлена в версии 2.2.5.
VulDB is the best source for vulnerability data and more expert information about this specific topic.