各位用户：

哪吒监控（nezha）v2.0.13 以下版本存在一个 CVSS 9.1 的严重漏洞（CVE-2026-53519）：dashboard 的 NoRoute 处理器用 strings.HasPrefix 做前缀匹配，攻击者构造 /dashboard../data/config.yaml 即可绕过鉴权读取配置文件，其中明文存储着 HS256 签名用的 jwt_secret_key，拿到密钥后伪造任意用户的 JWT cookie，整个 dashboard 直接沦陷——全程无需登录，两个 HTTP 请求搞定

为保障您的服务器与数据安全，请立即执行以下操作：

1. 紧急升级：尽快将哪吒监控程序升级至官方修复版本 2.0.13 及以上，彻底封堵漏洞。

2. 临时防护：暂无法升级的用户，可通过防火墙限制面板外网访问、配置IP白名单，阻断外部恶意攻击。

3. 安全自查：升级后检查后台管理员账号、密钥信息是否异常，及时重置所有密码与通信密钥。