【轉發】关于 哪吒探针 多个高危漏洞 (5x CVE) 的安全通告
近日,我们收到了多个来自上游的 Abuse 滥用投诉,经与数据中心排查,发现被入侵的产品均安装了 哪吒探针 (Nezha Dashboard)。
大部分被入侵的产品,多以 对外攻击(DDoS),扫描器 为主,此类 Abuse 滥用投诉,建议您尽快完成自查与整改,不进行清退。但部分受 Abuse 滥用投诉的产品,由于攻击者进行高风险操作 (被攻击者利用, 为 Child Porn 网站提供 CDN 节点、搭建非法博彩网站页面等) 将被清退。
我们发现,哪吒探针 存在多个高危漏洞,影响 v2.0.13 以下所有版本。
CVE-2026-53519 无须认证即可获取密钥,从而实现控制 哪吒探针 部署的所有被控节点
CVE-2026-46716:远程命令执行
CVE-2026-46717:SSRF 内网探测
CVE-2026-49396:CSRF 攻击
立即升级至 v2.0.13 或更高版本,然后重新生成所有 JWT 凭证,或换用其他 探针 产品。
