CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-35053

Critical
Published: Translated: NVD NIST

Summary

OneUptime to platforma do monitorowania i obserwacji, która przed wersją 10.0.42 miała w usłudze Worker ManualAPI nieautoryzowane punkty końcowe do uruchamiania procesów roboczych. Atakujący, który zdobędzie lub odgadnie identyfikator procesu roboczego, może wywołać dowolne wykonanie procesu roboczego z kontrolowanymi przez siebie danymi wejściowymi.

Risk Assessment

Możliwość wykonania kodu JavaScript, nadużycia powiadomień oraz manipulacji danymi stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący może wykorzystać tę podatność do przejęcia kontroli nad procesami roboczymi.

Recommendation

Zaleca się aktualizację do wersji 10.0.42 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy autoryzacji dla punktów końcowych API.

Original NVD description (English source)

OneUptime is an open-source monitoring and observability platform. Prior to version 10.0.42, the Worker service's ManualAPI exposes workflow execution endpoints (GET /workflow/manual/run/:workflowId and POST /workflow/manual/run/:workflowId) without any authentication middleware. An attacker who can obtain or guess a workflow ID can trigger arbitrary workflow execution with attacker-controlled input data, enabling JavaScript code execution, notification abuse, and data manipulation. This issue has been patched in version 10.0.42.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS