Plattform
nodejs
Komponente
oneuptime
Behoben in
10.0.36
CVE-2026-33396 is a critical remote command execution (RCE) vulnerability affecting OneUptime, an open-source monitoring and observability platform. This vulnerability allows a low-privileged authenticated user (ProjectMember) to execute arbitrary commands on the Probe container/host. The issue arises from incomplete sandbox restrictions within Synthetic Monitor Playwright script execution, impacting versions 10.0.35 and earlier. A fix is available in version 10.0.35.
CVE-2026-33396 in OneUptime ermöglicht einem authentifizierten Benutzer mit geringen Rechten (ProjectMember), Befehle auf dem Probe-Container/Host remote auszuführen, indem die Ausführung von Playwright-Skripten in synthetischen Monitoren missbraucht wird. Der Code des synthetischen Monitors wird in VMRunner.runCodeInNodeVM mit einem aktiven Playwright-Seitenobjekt im Kontext ausgeführt. Das Sandbox basiert auf einer Sperrliste blockierter Eigenschaften/Methoden, diese ist jedoch unvollständig. Insbesondere können _browserType und launch ausgenutzt werden, um beliebigen Code auszuführen.
Ein Angreifer mit authentifiziertem Zugriff als ProjectMember kann einen synthetischen Monitor mit einem bösartigen Playwright-Skript erstellen. Dieses Skript kann, wenn es in der VMRunner.runCodeInNodeVM-Umgebung ausgeführt wird, die fehlenden Einschränkungen bei _browserType und launch ausnutzen, um beliebige Befehle auf dem Probe-Container oder sogar auf dem zugrunde liegenden Host auszuführen. Die einfache Authentifizierung als ProjectMember macht diese Schwachstelle besonders besorgniserregend.
Organizations utilizing OneUptime for monitoring and observability, particularly those with ProjectMember roles that have the ability to create or modify Synthetic Monitors, are at risk. Shared hosting environments where multiple users share access to the OneUptime instance are also particularly vulnerable, as a compromised ProjectMember account could impact the entire environment.
• nodejs / server:
ps aux | grep 'VMRunner.runCodeInNodeVM' | grep -i playwright• nodejs / server:
journalctl -u oneuptime -g 'Playwright script execution'• generic web:
Inspect OneUptime Synthetic Monitor Playwright scripts for suspicious code, particularly attempts to access or manipulate _browserType or launchServer properties.
disclosure
Exploit-Status
EPSS
0.84% (75% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, OneUptime auf Version 10.0.35 oder höher zu aktualisieren. Diese Version enthält Korrekturen, die die Playwright-Ausführungsumgebung verstärken und die Eigenschaften und Methoden, die zur Remote-Befehlsausführung verwendet werden können, effektiver blockieren. Es wird dringend empfohlen, so schnell wie möglich zu aktualisieren, um das Risiko einer Ausnutzung zu mindern. Überprüfen Sie außerdem die Benutzerberechtigungskonfigurationen, um sicherzustellen, dass nur die erforderlichen Benutzer Zugriff auf die synthetische Überwachungsfunktionalität haben.
Actualice OneUptime a la versión 10.0.35 o superior. Esta versión contiene una corrección para la vulnerabilidad de ejecución remota de comandos. La actualización evitará que usuarios no autorizados ejecuten comandos arbitrarios en el contenedor/host Probe.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Ein ProjectMember ist eine Benutzerrolle in OneUptime mit begrenzten Berechtigungen innerhalb eines bestimmten Projekts. Obwohl sie keine Administratorrechte haben, können sie ausreichen, um diese Schwachstelle auszunutzen.
Sie können Ihre OneUptime-Version überprüfen, indem Sie den Befehl oneuptime version in der Befehlszeile ausführen oder die Versionsinformationen in der Benutzeroberfläche einsehen.
Wenn Sie nicht sofort aktualisieren können, sollten Sie den Zugriff auf die synthetische Überwachungsfunktionalität auf vertrauenswürdige Benutzer beschränken und die Systemprotokolle genau auf verdächtige Aktivitäten überwachen.
Derzeit gibt es keine speziellen Tools, um die Ausnutzung dieser Schwachstelle zu erkennen. Die Überwachung der Systemprotokolle und die Suche nach ungewöhnlichen Befehlsausführungsmustern können jedoch helfen, potenzielle Angriffe zu identifizieren.
Das bedeutet, dass ein Angreifer Befehle auf einem System remote ausführen kann, ohne physisch anwesend sein zu müssen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.