哪吒监控曝严重未授权路径穿越漏洞,一条 GET 请求拿下管理员
哪吒监控(nezha)v2.0.13 以下版本存在一个 CVSS 9.1 的严重漏洞(CVE-2026-53519):dashboard 的 NoRoute 处理器用 strings.HasPrefix 做前缀匹配,攻击者构造 /dashboard../data/config.yaml 即可绕过鉴权读取配置文件,其中明文存储着 HS256 签名用的 jwt_secret_key,拿到密钥后伪造任意用户的 JWT cookie,整个 dashboard 直接沦陷——全程无需登录,两个 HTTP 请求搞定。目前官方已在 v2.0.13 修复,建议立即升级。
来源:Github
哪吒监控(nezha)v2.0.13 以下版本存在一个 CVSS 9.1 的严重漏洞(CVE-2026-53519):dashboard 的 NoRoute 处理器用 strings.HasPrefix 做前缀匹配,攻击者构造 /dashboard../data/config.yaml 即可绕过鉴权读取配置文件,其中明文存储着 HS256 签名用的 jwt_secret_key,拿到密钥后伪造任意用户的 JWT cookie,整个 dashboard 直接沦陷——全程无需登录,两个 HTTP 请求搞定。目前官方已在 v2.0.13 修复,建议立即升级。
来源:Github
GitHub
Pre-auth path traversal via /dashboard.. prefix confusion leaks jwt_secret_key
### Summary
`fallbackToFrontend` in the dashboard's `NoRoute` handler treats any URL whose **raw string** starts with `/dashboard` as an admin-frontend asset request. The check uses `strings.H...
`fallbackToFrontend` in the dashboard's `NoRoute` handler treats any URL whose **raw string** starts with `/dashboard` as an admin-frontend asset request. The check uses `strings.H...
非常感谢你们的支持呀,非常感谢你们对中转站的支持与信任,感谢你们。原材料是豆包以后都会给大家写清楚 介意请勿下单 Claude中转站叫了十几年了 不存在欺诈等行为 都是大家的支持给了中转站热搜的流量 本来就是小本生意 也没有故意存在欺诈宣传 太对不起大家了耽误了大家的宝贵时间万分抱歉
用户:阿姨,你们的Fable 5怎么还能用?
中转站阿姨:我们有内部渠道。
用户:A\不是已经封了吗?
中转站阿姨:阿姨做中转这么多年,靠的就是一个诚信。
用户:为什么token绿绿的?
阿姨沉默了一会儿。
中转站阿姨:是Gemini的光照上去的。
用户:所以不是Fable 5?
中转站阿姨:Fable 5这个名字,大家叫习惯了。
用户:那为什么不早告诉我们?
中转站阿姨:一直没找到合适的机会。
用户:那我这几天用的是……
中转站阿姨:孩子,是Gemini。
中转站阿姨:我们有内部渠道。
用户:A\不是已经封了吗?
中转站阿姨:阿姨做中转这么多年,靠的就是一个诚信。
用户:为什么token绿绿的?
阿姨沉默了一会儿。
中转站阿姨:是Gemini的光照上去的。
用户:所以不是Fable 5?
中转站阿姨:Fable 5这个名字,大家叫习惯了。
用户:那为什么不早告诉我们?
中转站阿姨:一直没找到合适的机会。
用户:那我这几天用的是……
中转站阿姨:孩子,是Gemini。
https://www.anthropic.com/news/fable-mythos-access
Anthropic王朝崩塌(享年3天)
code is cheap,show me your nationality
Anthropic王朝崩塌(享年3天)