Katalog CVE

CVE-2026-35053

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

OneUptime to platforma do monitorowania i obserwacji, która przed wersją 10.0.42 miała w usłudze Worker ManualAPI nieautoryzowane punkty końcowe do uruchamiania procesów roboczych. Atakujący, który zdobędzie lub odgadnie identyfikator procesu roboczego, może wywołać dowolne wykonanie procesu roboczego z kontrolowanymi przez siebie danymi wejściowymi.

Ocena ryzyka

Możliwość wykonania kodu JavaScript, nadużycia powiadomień oraz manipulacji danymi stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący może wykorzystać tę podatność do przejęcia kontroli nad procesami roboczymi.

Rekomendacja

Zaleca się aktualizację do wersji 10.0.42 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy autoryzacji dla punktów końcowych API.

Oryginalny opis (angielski, źródło NVD)

OneUptime is an open-source monitoring and observability platform. Prior to version 10.0.42, the Worker service's ManualAPI exposes workflow execution endpoints (GET /workflow/manual/run/:workflowId and POST /workflow/manual/run/:workflowId) without any authentication middleware. An attacker who can obtain or guess a workflow ID can trigger arbitrary workflow execution with attacker-controlled input data, enabling JavaScript code execution, notification abuse, and data manipulation. This issue has been patched in version 10.0.42.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS