OneUptime: Missing Authentication on Notification Endpoints
Plattform
other
Komponente
oneuptime
Behoben in
10.0.43
CVE-2026-34758 describes an unauthenticated access vulnerability in OneUptime, an open-source monitoring platform. This flaw allows unauthenticated access to notification test and phone number management endpoints, enabling SMS/Call/Email/WhatsApp abuse. Affected versions are prior to 10.0.42. The vulnerability is fixed in version 10.0.42.
Auswirkungen und Angriffsszenarien
CVE-2026-34758 in OneUptime ermöglicht nicht authentifizierten Zugriff auf die Benachrichtigungstest- und Telefonnummernmanagement-Endpunkte. Dies ermöglicht den Missbrauch von SMS, Anrufen, E-Mails und WhatsApp sowie den Kauf von Telefonnummern. Das Fehlen einer Authentifizierung setzt das System potenziellen Missbrauch aus, einschließlich Spam-Kampagnen, betrügerischen Aktivitäten und Denial-of-Service (DoS)-Angriffen, indem das System mit unerwünschten Benachrichtigungen überflutet wird. Die Möglichkeit, Telefonnummern über das System zu erwerben, verschärft das Risiko weiter und ermöglicht es böswilligen Akteuren, gefälschte Konten zu erstellen oder gezielte Phishing-Angriffe zu starten.
Ausnutzungskontext
Ein Angreifer kann diese Schwachstelle ausnutzen, ohne Anmeldeinformationen zu benötigen. Durch das Senden einfacher HTTP-Anfragen an die Benachrichtigungstest- und Telefonnummernmanagement-Endpunkte kann er das Senden von SMS, Anrufen, E-Mails oder WhatsApp-Nachrichten auslösen. Die einfache Zugänglichkeit macht diese Schwachstelle besonders bedenklich, da sie es selbst Angreifern mit geringer technischer Expertise ermöglicht, Angriffe zu starten. Auch die automatisierte Ausnutzung ist möglich, was zu einem hohen Volumen an bösartigem Datenverkehr und erheblichen Störungen führen kann.
Wer Ist Gefährdetwird übersetzt…
Organizations utilizing OneUptime for monitoring and observability, particularly those with publicly accessible instances or those that have not implemented robust access controls for their notification and phone number management systems, are at significant risk. Shared hosting environments using OneUptime are also particularly vulnerable.
Angriffszeitlinie
- Disclosure
disclosure
Bedrohungsanalyse
Exploit-Status
EPSS
0.04% (12% Perzentil)
CISA SSVC
CVSS-Vektor
Was bedeuten diese Metriken?
- Attack Vector
- Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
- Attack Complexity
- Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
- Privileges Required
- Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
- User Interaction
- Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
- Scope
- Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
- Confidentiality
- Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
- Integrity
- Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
- Availability
- Keine — kein Verfügbarkeitseinfluss.
Betroffene Software
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
- Geändert
- EPSS aktualisiert
Mitigation und Workarounds
Die empfohlene Mitigation für CVE-2026-34758 ist die sofortige Aktualisierung von OneUptime auf Version 10.0.42 oder höher. Diese Version integriert Authentifizierungsanforderungen für die betroffenen Endpunkte und verhindert so effektiv unbefugten Zugriff. Überprüfen Sie außerdem die Sicherheitseinstellungen von OneUptime, einschließlich Firewall-Regeln und Intrusion-Detection-Systemen, um verdächtige Aktivitäten zu überwachen und zu blockieren. Untersuchen Sie die Systemprotokolle auf unbefugte Zugriffsversuche vor der Aktualisierung, um mögliche Kompromittierungen zu identifizieren. Regelmäßige Sicherheitsaudits und Schwachstellenanalysen werden ebenfalls empfohlen, um eine sichere Umgebung aufrechtzuerhalten.
So behebenwird übersetzt…
Actualice OneUptime a la versión 10.0.42 o superior. Esta versión corrige la falta de autenticación en los endpoints de notificación, previniendo el abuso de SMS/Llamadas/Email/WhatsApp y la compra no autorizada de números de teléfono.
CVE-Sicherheitsnewsletter
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Häufig gestellte Fragen
Was ist CVE-2026-34758 in OneUptime?
Als vorübergehende Maßnahme implementieren Sie Firewall-Regeln, um den öffentlichen Zugriff auf die betroffenen Endpunkte zu blockieren. Überwachen Sie die Systemprotokolle auf verdächtige Aktivitäten.
Bin ich von CVE-2026-34758 in OneUptime betroffen?
Ja, alle OneUptime-Installationen, die Versionen vor 10.0.42 verwenden, sind anfällig.
Wie behebe ich CVE-2026-34758 in OneUptime?
Sie können die Version von OneUptime überprüfen, indem Sie auf die Verwaltungs-Oberfläche zugreifen oder die Systemprotokolle konsultieren.
Wird CVE-2026-34758 aktiv ausgenutzt?
Überprüfen Sie die allgemeinen Sicherheitseinstellungen von OneUptime, einschließlich Benutzerverwaltung und Berechtigungseinstellungen.
Wo finde ich den offiziellen OneUptime-Hinweis für CVE-2026-34758?
Sie finden weitere Informationen auf der Seite CVE-2026-34758 in Schwachstellen-Datenbanken wie dem NIST NVD.
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.