CVE-2026-30957
KrytyczneStreszczenie
OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. Przed wersją 10.0.21, syntetyczne monitory OneUptime pozwalały użytkownikom projektu z niskimi uprawnieniami na wykonywanie dowolnych poleceń na serwerze/kontenerze oneuptime-probe.
Ocena ryzyka
Podatność ta umożliwia zdalne wykonanie kodu na serwerze, co może prowadzić do przejęcia kontroli nad systemem przez złośliwego użytkownika. Jest to poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 10.0.21 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt bezpieczeństwa, aby ocenić potencjalne skutki tej luki.
Oryginalny opis (angielski, źródło NVD)
OneUptime is a solution for monitoring and managing online services. Prior to 10.0.21, OneUptime Synthetic Monitors allow a low-privileged authenticated project user to execute arbitrary commands on the oneuptime-probe server/container. The root cause is that untrusted Synthetic Monitor code is executed inside Node's vm while live host-realm Playwright browser and page objects are exposed to it. A malicious user can call Playwright APIs on the injected browser object and cause the probe to spawn an attacker-controlled executable. This is a server-side remote code execution issue. It does not require a separate vm sandbox escape. This vulnerability is fixed in 10.0.21.

