服务监控面板哪吒(Nezha)高危漏洞被公开 通过路径穿越可直接接管整个面板

业界 来源：蓝点网 2026-06-17 10:06:37 阅读：5

开源监控面板项目哪吒日前公开安全研究人员提交的 CVE-2026-53519 漏洞，该漏洞属于未经授权的路径穿越，漏洞严重性评分为 9.1 分 (满分 10 分)，哪吒面板开发团队已经在 v2.0.13 版中进行修复，所有使用哪吒面板的用户都应该启用自动更新确保始终使用最新面板。

从目前已经公开的漏洞细节来看，这个漏洞危害程度极高，因为攻击者只需要构造特殊的 URL 即可在不需要任何认证的情况下读取服务器上的任何文件，例如直接读取配置文件获取完整数据库、管理员账号、经过哈希的密码、服务器列表、OAuth2 凭证等。

尽管管理员密码是经过哈希加密的，但攻击者可以获取 JWT 密钥然后使用对撑密钥 HS256 伪造 Cookie，这样只需要管理员 ID 即可实现账号登录，整个过程不需要密码，登录后就是管理员权限因此可以直接接管整个哪吒面板，而攻击过程也仅仅只需要发送 2 次 GET 请求，不需要用户进行任何交互，攻击成功率极高。

该漏洞影响哪吒面板 v2.0.13 之前的所有版本，哪吒面板团队已经发布 v2.0.13 版进行修复 (最初发布于 2026 年 5 月 25 日)，在漏洞未公开前用户升级到 v2.0.13 或后续版本都可以免疫攻击，然而还有很多用户并未升级，现在漏洞也被公开，相关攻击正在迅速增加。

对使用哪吒面板的用户来说需要立即将面板升级到最新版，作为日常安全措施，哪吒面板最好在内网部署或者严格使用反向代理保护，直接将面板公开暴露到互联网上有极高的风险，此前哪吒面板也多次出现相关安全问题，所以用户不应该直接将面板暴露，当然更重要的是必须及时升级到新版本。