nvd,anchore_overrides
Hackerbay
Уязвимости
24
Эксплуатируемые
0
Критический
12
Высокий
9
Топ продуктов
Топ уязвимостей
CVE-2026-45102OneUptime - это платформа мониторинга и наблюдения с открытым исходным кодом. До 10.0.98 OneUptime использует модуль Node.js vm в качестве примитива изоляции. Этот API не был предназначен для этого и может быть устранен с помощью объектов ошибок и бесконечной рекурсии. Эта уязвимость исправлена в 10.0.98.
CVE-2026-33396OneUptime - это платформа мониторинга и наблюдения с открытым исходным кодом. До версии 10.0.35 низкопривилегированный аутентифицированный пользователь (ProjectMember) может добиться удаленного выполнения команды в контейнере/хосте Probe, злоупотребляя исполнением скрипта Synthetic Monitor Playwright. Синтетический код монитора выполняется в VMRunner.runCodeInNodeVM с живым объектом страницы Playwright в контексте. Песочница опирается на список запрещенных свойств/методов, но она неполная. В частности, _browserType и LaunchServer не заблокированы, поэтому код злоумышленника может проходить через «страницу.контекст().browser(). .browser(.)) и создавать произвольные процессы. Версия 10.0.35 содержит патч.
CVE-2026-32306OneUptime - это решение для мониторинга и управления онлайн-сервисами. До 10.0.23 API агрегации телеметрии принимает контролируемые пользователем параметры agregationType, aggregateColumnName и aggregationTimestampColumnName и интерполирует их непосредственно в запросы ClickHouse SQL с помощью метода .append() (задокументирован как «доверенный SQL»). Нет списка разрешений, нет параметризованного связывания запроса и нет валидации ввода. Аутентифицированный пользователь может вводить произвольный SQL в ClickHouse, позволяя полностью читать базу данных (включая данные телеметрии от всех арендаторов), модифицировать данные и потенциальное удаленное выполнение кода с помощью функций таблицы ClickHouse. Эта уязвимость зафиксирована в 10.0.23.
CVE-2026-30957OneUptime - это решение для мониторинга и управления онлайн-сервисами. До 10.0.21 OneUptime Synthetic Monitors позволяют низкопривилегированному аутентифицированному пользователю проекта выполнять произвольные команды на сервере/контейнере с одним временем пробоотбора. Основная причина заключается в том, что ненадежный код Synthetic Monitor выполняется внутри vm Node, в то время как живой хост-реалы Playwright браузер и объекты страницы подвергаются его воздействию. Вредоносный пользователь может вызывать API Playwright на инъецируемом объекте браузера и заставлять зонд порождать исполняемый файл под управлением злоумышленника. Это проблема удаленного выполнения кода на стороне сервера. Это не требует отдельного побега из песочницы. Эта уязвимость зафиксирована в 10.0.21.
CVE-2026-30956OneUptime - это решение для мониторинга и управления онлайн-сервисами. До 10.0.21 низкопривилегированный пользователь может обойти авторизацию и изоляцию арендатора в OneUptime v10.0.20 и ранее, отправив поддельный заголовок запроса с несколькими арендаторами вместе с контролируемым заголовком проекции. Поскольку сервер доверяет этому клиенту, заголовку, внутренние проверки разрешений в BasePermission пропускаются, а поиск арендатора отключен. Это позволяет злоумышленникам получать доступ к данным проекта, принадлежащим другим арендаторам, читать конфиденциальные поля пользователя через вложенные отношения, удалять открытый текст перезаписиPasswordToken, а также сбрасывать пароль жертвы и полностью брать на себя учетную запись. Это приводит к перекрестному обнаружению данных и полному учету. Эта уязвимость зафиксирована в 10.0.21.
CVE-2026-30921OneUptime - это решение для мониторинга и управления онлайн-сервисами. До 10.0.20 OneUptime Synthetic Monitors позволяют пользователям низкопривилегированных проектов отправлять пользовательский код Playwright, который выполняется в сервисе с одним временем ожидания. В текущей реализации этот ненадеженный код работает внутри vm Node и дается живым хостом объектов Playwright, таких как браузер и страница. Это создает отчетливый примитивный RCE на стороне сервера: злоумышленнику не нужен классический побег из песочницы this.constructor.constructor(...). Вместо этого злоумышленник может напрямую использовать введенный объект браузера Playwright для достижения браузера.browserType(.launch(...) и порождения произвольного исполняемого на хостере/контейнере зонда. Эта уязвимость исправлена в 10.0.20.
CVE-2026-30887OneUptime - это решение для мониторинга и управления онлайн-сервисами. До 10.0.18 OneUptime позволяет участникам проекта запускать пользовательский код Playwright/JavaScript через Synthetic Monitors для тестирования веб-сайтов. Однако система выполняет этот ненадежные пользовательские коды внутри небезопасного модуля Node.js vm. Используя стандартный прототип-цепочка (this.constructor.constructor), злоумышленник может обойти песочницу, получить доступ к объекту процесса Node.js и выполнить произвольные системные команды (RCE) на контейнере с одним временем пробода. Кроме того, поскольку зонд содержит учетные данные базы данных/кластеров в своих переменных окружения, это напрямую приводит к полному компрометации кластера. Эта уязвимость фиксируется в 10.0.18.
CVE-2026-27574OneUptime - это решение для мониторинга и управления онлайн-сервисами. В версиях 9.5.13 и ниже пользовательская функция монитора JavaScript использует модуль Node.js Node:vm (явно задокументированный как не механизм безопасности) для выполнения кода, поставляемого пользователем, что позволяет тривиальному выходу из песочницы через хорошо известный однострочник, который предоставляет полный доступ к основному процессу. Поскольку зонд работает с хост-сетями и удерживает все учетные данные кластера (ONEUPTIME_SECRET, DATABASE_PASSWORD, REDIS_PASSWORD, CLICKHOUSE_PASSWORD) в своих переменных окружении, а создание монитора доступно для самой низкой роли (ProjectMember) с открытой регистрацией, включенной по умолчанию, любой анонимный пользователь может достичь полного кластера. Эта проблема была исправлена в версии 10.0.5.
CVE-2026-35053OneUptime - это платформа мониторинга и наблюдения с открытым исходным кодом. До версии 10.0.42, ManualAPI рабочей службы обнажает конечные точки выполнения рабочего процесса (GET /workflow/manual/run/:workflowId и POST /workflow/run/run/workflowId) без промежуточной программы аутентификации. Злоумышленник, который может получить или угадать идентификатор рабочего процесса, может инициировать произвольное выполнение рабочего процесса с помощью данных, контролируемых злоупотребляющим, в результате чего выполняется код JavaScript, злоупотребляет уведомляемостью и манипулирование данными. Этот вопрос был исправлен в версии 10.0.42.
CVE-2026-34759OneUptime - это платформа мониторинга и наблюдения с открытым исходным кодом. До версии 10.0.42 несколько конечных точек API уведомлений регистрируются без промежутков программного обеспечения аутентификации, в то время как конечные точки братьев и сестер в одной и той же кодовой базе правильно используют ClusterKeyAuthorization.isAuthorizedServiceMiddleware. Эти конечные точки доступны извне через прокси Nginx в /notification/. В сочетании с утечкой ProjectId из публичного API страницы статуса неаутентифицированный злоумышленник может приобрести номера телефонов в учетной записи жертвы Twilio и удалить все существующие номера оповещения. Этот вопрос исправлен в версии 10.0.42.
CVE-2026-34758OneUptime - это платформа мониторинга и наблюдения с открытым исходным кодом. До версии 10.0.42 неаутентированный доступ к тесту уведомлений и конечным точкам управления номерами телефона позволяет SMS/Call/Email/WhatsApp и покупку номеров телефона. Этот вопрос исправлен в версии 10.0.42.
CVE-2026-28787OneUptime - это решение для мониторинга и управления онлайн-сервисами. В версии 10.0.11 и предшествующей реализация аутентификации WebAuthn не хранит вызов на стороне сервера. Вместо этого вызов возвращается клиенту и принимается обратно из органа запроса клиента во время проверки. Это нарушает спецификацию WebAuthn (Уровень веб-аутентификации W3C 2, § 13.4.3) и позволяет злоумышленнику, получившему действительное утверждение WebAuthn (например, через XSS, MitM или лог-экспонирование), воспроизвести его на неопределенный срок, полностью минуя аутентификацию второго раза. Известные патчи не доступны.
CVE-2026-27728OneUptime - это решение для мониторинга и управления онлайн-сервисами. До версии 10.0.7 уязвимость инъекций команд ОС в «NetworkPathMonitor.performTraceroute()` позволяет любому аутентифицированному пользователю проекта выполнять произвольные команды операционной системы на сервере зонда, вводя метахарактеры оболочки в поле назначения монитора. Версия 10.0.7 исправляет уязвимость.
CVE-2025-65966OneUptime - это решение для мониторинга и управления онлайн-сервисами. В версии 9.0.5598 пользователь с низким разрешением может создавать новые учетные записи через прямой запрос API вместо того, чтобы ограничиваться предполагаемым интерфейсом. Этот вопрос был исправлен в версии 9.1.0.
CVE-2026-33143OneUptime - это решение для мониторинга и управления онлайн-сервисами. До версии 10.0.34 обработчик веб-хука WhatsApp POST (/уведомление/whatsapp/webhook) обрабатывает входящие события обновления статуса без проверки подписи Meta/WhatsApp X-Hub-Signature-256 HMAC, позволяя любому неаутентифицированному злоумышленнику отправлять поддельные вебк-хоксы, которые манипулируют записями о состоянии доставки уведомлений, подавляют оповещения и коррумп. Кодовое основание уже реализует надлежащую проверку подписей для веб-хуков Slack. Эта проблема была исправлена в версии 10.0.34.
CVE-2026-30958OneUptime - это решение для мониторинга и управления онлайн-сервисами. До 10.0.21 неаутентифицированный обход пути в /workflow/docs/:componentName endpoint позволяет читать произвольные файлы из файловой системы сервера. Параметр маршрута имен состоит непосредственно в пути файла, переданный res.sendFile() в orker/FeatureSet/Workflow/Index.ts без промежуточного программного обеспечения для санации или аутентификации. Эта уязвимость зафиксирована в 10.0.21.
CVE-2026-30920OneUptime - это решение для мониторинга и управления онлайн-сервисами. До 10.0.19 приложение OneUptime GitHub поддерживает контролируемые злоумышленниками значения состояния и установки_id и обновляет Project.gitHubAppInstallationId с isRoot: true, не подтверждая, что звонящий авторизован для целевого проекта. Это позволяет злоумышленнику перезаписать привязку установки приложения GitHub другого проекта. Связанные конечные точки GitHub также не имеют эффективной авторизации, поэтому действительный идентификатор установки может использоваться для перечисления репозиториев и создания записей CodeRepository в произвольном проекте. Эта уязвимость зафиксирована в 10.0.19.
CVE-2024-29194OneUptime — это решение для мониторинга и управления онлайн-сервисами. Уязвимость заключается в неправильной проверке данных, хранящихся на стороне клиента, в веб-приложении. В частности, ключом is_master_admin, хранящимся в локальном хранилище браузера, может манипулировать злоумышленник. Изменив этот ключ с false на true, приложение предоставляет пользователю права администратора без надлежащей проверки на стороне сервера. Эта проблема была исправлена в версии 7.0.1815.
CVE-2026-34840OneUptime - это платформа мониторинга и наблюдения с открытым исходным кодом. До версии 10.0.42 реализация SAML SSO от OneUptime (App/FeatureSet/Identity/Utils/SSO.ts) отделила проверку и извлечение личности подписи. isSignatureValid() проверяет первый элемент <Сигнатура> в XML DOM с помощью xml-crypto, в то время как getEmail() всегда читает из утверждения[0]. Злоумышленник может предоткрыть неподписанное утверждение, содержащее произвольное личность, перед законно подписанным утверждением, что приводит к обходу аутентификации. Этот вопрос был исправлен в версии 10.0.42.
CVE-2026-33142OneUptime - это решение для мониторинга и управления онлайн-сервисами. До версии 10.0.34 исправление для CVE-2026-32306 (ClickHouse SQL инъекции через агрегированные параметры запроса) добавило валидацию имени столбца к методу _aggregateBy, но не применяло ту же валидацию к трем другим траекториям построения запросов в отчетеGenerator. Методы toSortStatement toSerlectStatement иGroupByStatement принимают контролируемые пользователем объективные ключи от органов запросов API и интерполируют их в качестве параметров ClickHouse Identifier, не подтверждая, что они соответствуют фактическим колонтам моделей. Параметры ClickHouse Identifier заменяются непосредственно на запросы без побега, поэтому злоумышленник, который может достичь любого списка аналитики или совокупной конечной точки, может вводить произвольный SQL через созданный сортировочный, выбранный или групповой клавиши. Эта проблема была исправлена в версии 10.0.34.
CVE-2026-32308OneUptime - это решение для мониторинга и управления онлайн-сервисами. До 10.0.23 компонент просмотра Markdown отображает диаграммы Mermaid с уровня безопасности: «свободный» и вводит выход SVG через innerHTML. Эта конфигурация явно позволяет интерактивные привязки событий на диаграммах Русалок, позволяя XSS через директиву клика Русалка, которая может выполнять произвольный JavaScript. Любое поле, которое отображает уценку (описания инцидентов, объявления о статусе, заметки монитора), уязвимо. Эта уязвимость зафиксирована в 10.0.23.
CVE-2026-32598OneUptime - это решение для мониторинга и управления онлайн-сервисами. До 10.0.24 пароль сбрасывает журналы сброса пароля, содержащий токен сброса руля, содержащий токен сброса открытого текста, на уровне журнала INFO, который включен по умолчанию в производстве. Любой, у кого есть доступ к журналам приложений (агрегация логов, журналы Docker, журналы Kubernetes pod), может перехватить токены сброса и выполнить поглощение учетной записи на любом пользователе. Эта уязвимость зафиксирована в 10.0.24.
CVE-2025-66028OneUptime - это решение для мониторинга и управления онлайн-сервисами. До версии 8.0.5567, OneUptime уязвим для эскалации привилегий через манипулирование ответом на вход. Во время процесса входа в систему ответ сервера включал параметр под названием isMasterAdmin. Перехватывая и изменяя это значение параметра с ложного на true, можно получить доступ к интерфейсу админ-панели. Однако злоумышленник может быть не в состоянии просматривать или взаимодействовать с данными, если они все еще не имеют достаточных разрешений. Этот вопрос был исправлен в версии 8.0.5567.
CVE-2026-30959OneUptime - это решение для мониторинга и управления онлайн-сервисами. Конечная точка кода повторной проверки позволяет любому аутентифицированному пользователю инициировать повторный код проверки для любой записи UserWhatsApp по идентификатору. Право собственности не подтверждено (в отличие от конечной точки проверки). Это влияет на конечную точку UserWhatsAppAPI.ts и сервис UserWhatsAppService.ts.