Plataforma
nodejs
Componente
@oneuptime/common
Corregido en
10.0.6
10.0.0
La vulnerabilidad CVE-2026-27574 es una ejecución remota de código (RCE) presente en la librería @oneuptime/common. Esta falla permite a atacantes con acceso a registrarse en el sistema ejecutar código arbitrario en el servidor subyacente, comprometiendo potencialmente todo el clúster. La vulnerabilidad afecta a versiones anteriores a 10.0.0 y ha sido publicada el 24 de febrero de 2026. Se recomienda actualizar a la versión 10.0.0 para mitigar el riesgo.
El impacto de esta vulnerabilidad es severo. Un atacante que pueda registrarse en OneUptime puede inyectar código JavaScript malicioso en los monitores. Debido a que este código se ejecuta dentro del módulo vm de Node.js, sin las debidas protecciones, el atacante obtiene acceso completo al proceso subyacente. Dado que el proceso de monitoreo se ejecuta con host networking y tiene acceso a las credenciales del clúster, la explotación exitosa conduce a una completa toma de control del clúster. Esto incluye el acceso a datos sensibles, la capacidad de ejecutar comandos arbitrarios en los nodos del clúster y la posibilidad de realizar movimientos laterales a otros sistemas conectados. La falta de aislamiento del código del usuario dentro del entorno de ejecución lo convierte en un vector de ataque de alta prioridad.
La vulnerabilidad CVE-2026-27574 ha sido publicada públicamente el 24 de febrero de 2026. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción, pero la alta severidad (CVSS 9.9) y la facilidad de explotación sugieren que podría ser añadida en el futuro. La existencia de un vector de ataque sencillo y la posibilidad de comprometer todo un clúster hacen que esta vulnerabilidad sea un objetivo atractivo para atacantes. Se recomienda monitorear activamente los sistemas afectados en busca de signos de explotación.
Organizations using OneUptime with custom JavaScript monitors are at risk. This includes teams relying on OneUptime for application performance monitoring and those who have granted project members the ability to create and manage custom monitors. Shared hosting environments where multiple users share the same OneUptime instance are particularly vulnerable, as a compromised account could impact all users on the host.
• nodejs / server:
ps aux | grep 'node -e' | grep '@oneuptime/common'• nodejs / server:
journalctl -u oneuptime -g 'VMRunner.t'• generic web: Use curl to check for exposed monitor endpoints and attempt to inject simple JavaScript payloads to test for RCE.
curl 'http://<oneuptime_server>/monitor/execute?script=<malicious_javascript>'disclosure
patch
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 10.0.0 de @oneuptime/common, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda limitar el acceso a la funcionalidad de monitores personalizados solo a usuarios de confianza. Además, se debe revisar y auditar cuidadosamente cualquier código JavaScript personalizado que se esté utilizando para identificar posibles vulnerabilidades. Implementar un sistema de revisión de código y pruebas de seguridad para el código personalizado puede ayudar a prevenir futuras explotaciones. Aunque no es una solución completa, la configuración de un Web Application Firewall (WAF) con reglas para detectar y bloquear la inyección de código malicioso podría proporcionar una capa adicional de protección.
Actualice OneUptime a la versión 10.0.5 o superior. Esta versión corrige la vulnerabilidad de escape de (sandbox) en la función de monitorización JavaScript personalizada.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27574 is a critical RCE vulnerability in the @oneuptime/common package, allowing attackers to execute arbitrary code via custom JavaScript monitors, potentially leading to full cluster compromise.
You are affected if you are using @oneuptime/common versions prior to 10.0.0 and have enabled custom JavaScript monitors.
Upgrade to version 10.0.0 or later of the @oneuptime/common package. Implement stricter input validation for user-supplied JavaScript code as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation make it a likely target.
Refer to the OneUptime official advisory and release notes for detailed information and updates: [https://oneuptime.io/](https://oneuptime.io/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.