Plattform
other
Komponente
oneuptime
Behoben in
10.0.43
CVE-2026-34758 describes an unauthenticated access vulnerability in OneUptime, an open-source monitoring platform. This flaw allows unauthenticated access to notification test and phone number management endpoints, enabling SMS/Call/Email/WhatsApp abuse. Affected versions are prior to 10.0.42. The vulnerability is fixed in version 10.0.42.
CVE-2026-34758 in OneUptime ermöglicht nicht authentifizierten Zugriff auf die Benachrichtigungstest- und Telefonnummernmanagement-Endpunkte. Dies ermöglicht den Missbrauch von SMS, Anrufen, E-Mails und WhatsApp sowie den Kauf von Telefonnummern. Das Fehlen einer Authentifizierung setzt das System potenziellen Missbrauch aus, einschließlich Spam-Kampagnen, betrügerischen Aktivitäten und Denial-of-Service (DoS)-Angriffen, indem das System mit unerwünschten Benachrichtigungen überflutet wird. Die Möglichkeit, Telefonnummern über das System zu erwerben, verschärft das Risiko weiter und ermöglicht es böswilligen Akteuren, gefälschte Konten zu erstellen oder gezielte Phishing-Angriffe zu starten.
Ein Angreifer kann diese Schwachstelle ausnutzen, ohne Anmeldeinformationen zu benötigen. Durch das Senden einfacher HTTP-Anfragen an die Benachrichtigungstest- und Telefonnummernmanagement-Endpunkte kann er das Senden von SMS, Anrufen, E-Mails oder WhatsApp-Nachrichten auslösen. Die einfache Zugänglichkeit macht diese Schwachstelle besonders bedenklich, da sie es selbst Angreifern mit geringer technischer Expertise ermöglicht, Angriffe zu starten. Auch die automatisierte Ausnutzung ist möglich, was zu einem hohen Volumen an bösartigem Datenverkehr und erheblichen Störungen führen kann.
Organizations utilizing OneUptime for monitoring and observability, particularly those with publicly accessible instances or those that have not implemented robust access controls for their notification and phone number management systems, are at significant risk. Shared hosting environments using OneUptime are also particularly vulnerable.
disclosure
Exploit-Status
EPSS
0.04% (12% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Mitigation für CVE-2026-34758 ist die sofortige Aktualisierung von OneUptime auf Version 10.0.42 oder höher. Diese Version integriert Authentifizierungsanforderungen für die betroffenen Endpunkte und verhindert so effektiv unbefugten Zugriff. Überprüfen Sie außerdem die Sicherheitseinstellungen von OneUptime, einschließlich Firewall-Regeln und Intrusion-Detection-Systemen, um verdächtige Aktivitäten zu überwachen und zu blockieren. Untersuchen Sie die Systemprotokolle auf unbefugte Zugriffsversuche vor der Aktualisierung, um mögliche Kompromittierungen zu identifizieren. Regelmäßige Sicherheitsaudits und Schwachstellenanalysen werden ebenfalls empfohlen, um eine sichere Umgebung aufrechtzuerhalten.
Actualice OneUptime a la versión 10.0.42 o superior. Esta versión corrige la falta de autenticación en los endpoints de notificación, previniendo el abuso de SMS/Llamadas/Email/WhatsApp y la compra no autorizada de números de teléfono.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Als vorübergehende Maßnahme implementieren Sie Firewall-Regeln, um den öffentlichen Zugriff auf die betroffenen Endpunkte zu blockieren. Überwachen Sie die Systemprotokolle auf verdächtige Aktivitäten.
Ja, alle OneUptime-Installationen, die Versionen vor 10.0.42 verwenden, sind anfällig.
Sie können die Version von OneUptime überprüfen, indem Sie auf die Verwaltungs-Oberfläche zugreifen oder die Systemprotokolle konsultieren.
Überprüfen Sie die allgemeinen Sicherheitseinstellungen von OneUptime, einschließlich Benutzerverwaltung und Berechtigungseinstellungen.
Sie finden weitere Informationen auf der Seite CVE-2026-34758 in Schwachstellen-Datenbanken wie dem NIST NVD.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.