CVE-2026-35053
KrytyczneStreszczenie
OneUptime to platforma do monitorowania i obserwacji, która przed wersją 10.0.42 miała w usłudze Worker ManualAPI nieautoryzowane punkty końcowe do uruchamiania procesów roboczych. Atakujący, który zdobędzie lub odgadnie identyfikator procesu roboczego, może wywołać dowolne wykonanie procesu roboczego z kontrolowanymi przez siebie danymi wejściowymi.
Ocena ryzyka
Możliwość wykonania kodu JavaScript, nadużycia powiadomień oraz manipulacji danymi stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący może wykorzystać tę podatność do przejęcia kontroli nad procesami roboczymi.
Rekomendacja
Zaleca się aktualizację do wersji 10.0.42 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć odpowiednie mechanizmy autoryzacji dla punktów końcowych API.
Oryginalny opis (angielski, źródło NVD)
OneUptime is an open-source monitoring and observability platform. Prior to version 10.0.42, the Worker service's ManualAPI exposes workflow execution endpoints (GET /workflow/manual/run/:workflowId and POST /workflow/manual/run/:workflowId) without any authentication middleware. An attacker who can obtain or guess a workflow ID can trigger arbitrary workflow execution with attacker-controlled input data, enabling JavaScript code execution, notification abuse, and data manipulation. This issue has been patched in version 10.0.42.

