CVE-2026-30887
CriticalSummary
OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.18, OneUptime pozwala członkom projektu na uruchamianie niestandardowego kodu Playwright/JavaScript za pomocą Synthetic Monitors, co prowadzi do możliwości wykonania nieautoryzowanych poleceń systemowych z powodu niebezpiecznego wykonania kodu w module Node.js.
Risk Assessment
Atakujący może obejść piaskownicę, uzyskać dostęp do obiektu procesu Node.js i wykonać dowolne polecenia systemowe, co prowadzi do całkowitego kompromitacji klastra, w tym dostępu do poświadczeń bazy danych.
Recommendation
Zaleca się aktualizację do wersji 10.0.18 lub nowszej, aby usunąć tę podatność oraz przegląd zabezpieczeń środowiska, w którym działa OneUptime.
Original NVD description (English source)
OneUptime is a solution for monitoring and managing online services. Prior to 10.0.18, OneUptime allows project members to run custom Playwright/JavaScript code via Synthetic Monitors to test websites. However, the system executes this untrusted user code inside the insecure Node.js vm module. By leveraging a standard prototype-chain escape (this.constructor.constructor), an attacker can bypass the sandbox, gain access to the underlying Node.js process object, and execute arbitrary system commands (RCE) on the oneuptime-probe container. Furthermore, because the probe holds database/cluster credentials in its environment variables, this directly leads to a complete cluster compromise. This vulnerability is fixed in 10.0.18.

