首页 / 新闻动态 / 哪吒监控曝CVSS 9.9严重漏洞CVE-2026-4671...

哪吒监控曝CVSS 9.9严重漏洞CVE-2026-46716:低权限用户可跨租户执行任意命令,IT运维管理工具安全防线告急

📅 2026-06-16 00:00:00 | 👁️ 阅读 34 | 📂 新闻动态

一、事件概述:你的服务器监控工具可能正在"反噬"你

2026年6月12日,开源服务器监控运维工具"哪吒监控(Nezha Monitoring)"被披露存在一个CVSS评分高达9.9的严重漏洞——CVE-2026-46716。该漏洞允许仅拥有RoleMember(低权限角色)的用户,通过创建恶意定时任务(Cron),向所有被监控的服务器——包括其他租户的服务器——下发并执行任意操作系统命令,实现跨租户远程代码执行(RCE)

对于IT外包和运维管理行业而言,这个漏洞的杀伤力极为惊人:一台监控面板被攻破,意味着所有被监控的客户服务器都可能沦陷。这不是"单台服务器被黑"的问题,而是"一个漏洞毁掉全部客户防线"的灾难级场景。

二、漏洞技术解析:一条Cron请求如何打通全域服务器

哪吒监控采用了Dashboard-Agent架构:Dashboard是管理面板,Agent部署在被监控的服务器上,接收指令并返回执行结果。漏洞出在Dashboard对Cron任务(定时计划任务)的权限校验上。

攻击链路推演

  • 第一步:攻击者以RoleMember身份(最低权限角色)登录Dashboard
  • 第二步:通过POST /api/v1/cron接口创建一个定时任务,设置三个关键参数:
    • Cover=CronCoverAll(覆盖范围:全部服务器)
    • Servers=[](目标服务器列表为空,即不限定目标)
    • Command=任意恶意命令(如反弹Shell、下载勒索软件等)
  • 第三步:调度器触发时,Dashboard将命令推送到全局ServerShared映射中的每台服务器——包括管理员的服务器、其他成员的服务器、甚至其他租户(客户)的服务器
  • 第四步:各Agent执行命令并返回输出结果,结果通过NotificationGroup发送到攻击者控制的Webhook

整条攻击链路的核心缺陷在于缺失授权检查(CWE-862)不当的权限管理(CWE-269)。Dashboard在分发Cron任务时,仅检查了"用户是否有创建Cron的权限",却没有检查"用户是否有对目标服务器的操作权限"。这一设计疏忽,让低权限用户获得了超越管理员的影响力。

三、跨租户攻击:IT外包公司的噩梦场景

CVE-2026-46716之所以被评为9.9分而非普通RCE的7-8分,关键在于跨租户(Cross-Tenant)这一维度。在IT外包和运维管理的实际业务场景中,这意味着:

场景漏洞影响严重程度
IT外包公司用一套哪吒监控管理多家客户服务器一个客户员工的账号被攻破,攻击者可向所有客户的服务器下发命令★★★★★ 灾难级
企业内部多部门共享监控面板运维部普通成员可向财务部、研发部等所有部门的服务器执行命令★★★★ 极高危
OAuth2自动绑定账号通过OAuth2登录的任何用户自动获得RoleMember权限,可立即发起跨租户RCE★★★★★ 灾难级

更令人担忧的是,如果哪吒监控的Dashboard配置了OAuth2,任何通过OAuth2绑定的用户都会自动获得RoleMember身份——这意味着外部身份提供商的一次认证,就能打开全域服务器控制权的大门。

四、影响范围:哪些版本和部署模式受影响

受影响版本

  • 哪吒监控 v1.4.0 至 v2.0.8之前(即 < 2.0.8)
  • 修复版本:v2.0.8及之后版本

高风险部署特征

  • Dashboard对外开放(公网可访问)
  • 启用了OAuth2认证(降低了攻击者的身份获取门槛)
  • 多租户共享同一Dashboard实例
  • Agent以root权限运行(命令执行后果更严重)

哪吒监控在国内运维圈的使用量相当可观——作为一款轻量级、自托管、中文友好的监控工具,它被大量中小企业和IT外包团队选用。这意味着本次漏洞的影响面远不止技术圈,而是直接触及正在使用它管理客户服务器的大量运维团队。

五、紧急修复方案

方案一:立即升级(推荐)

  • 升级哪吒监控至v2.0.8或更高版本
  • 升级地址:https://github.com/nezhahq/nezha/releases
  • 升级后确认Cron任务的权限隔离已生效

方案二:临时缓解(无法立即升级时)

  • 关闭Dashboard的公网访问,仅允许内网或VPN接入
  • 审查所有RoleMember级别的账号,清理不必要的成员
  • 如使用OAuth2,暂时禁用并改为手动管理账号
  • 监控/api/v1/cron接口的异常请求(如Cover=CronCoverAll、Servers=[]的组合)
  • 确保Agent不以root权限运行,降低命令执行的危害程度

六、对IT运维管理行业的启示:工具的安全不应低于它监控的对象

这次漏洞给我们带来了一个深刻但常被忽视的教训:运维管理工具本身的安全性,不应低于它所监控和管理的服务器的安全水平

很多团队在选择监控工具时,只关注功能(是否能监控CPU、内存、网络流量)和成本(是否免费),却忽略了工具自身的安全架构。一个权限管理不当的监控工具,其危险程度远超"没有监控"——因为它既是你的"眼睛",也可能成为攻击者的"手"。

我们建议所有使用类似运维管理工具的团队,在选择和部署时增加以下评估维度:

  • 权限模型是否支持租户隔离:多租户场景下,必须确保各租户的操作权限严格隔离
  • API接口的授权检查是否完备:创建任务、下发指令等高风险操作,必须验证操作者对目标资源拥有合法权限
  • 默认配置是否安全:自动登录、OAuth绑定等便捷功能往往也是安全隐患
  • 更新和漏洞响应速度:开源项目的维护活跃度和安全响应速度,直接决定了你面临漏洞时的等待时间

CVE-2026-46716的修复从披露到补丁发布仅用了数天,哪吒监控团队响应迅速值得肯定。但漏洞本身的存在,提醒我们:在运维工具的选择上,安全永远不应是事后才考虑的因素

如果您在使用哪吒监控或其他运维管理工具时遇到安全问题,欢迎联系我们的技术团队,我们将为您提供专业的安全评估和加固方案。

💬 评论 (0)