知名开源服务器监控工具 Nezha（哪吒探针）近期被披露存在高危的未授权目录遍历漏洞（CVE-2026-53519，CVSS评分高达 9.1）。该漏洞影响 2.0.13 之前的版本，攻击者无需任何权限，即可实现对管理员面板的完全接管。

该漏洞源于后端路由的匹配缺陷。攻击者可以越权读取服务器工作目录下的任意文件。能直接下载包含核心密钥的 config.yaml 文件及 SQLite 数据库。在获取 JWT 密钥和管理员 ID 后，攻击者可自行伪造合法的管理员 Session 并无感登入后台，获得对所有服务器、用户及定时任务的最高读写权限。官方已紧急发布 2.0.13 版本修复此问题。

由于哪吒探针在中文主机圈中装机量很大，因此影响范围极大，DMIT等主机运营商已发布警告，建议用户立即采取措施。