Plateforme
nodejs
Composant
@oneuptime/common
Corrigé dans
10.0.19
10.0.19
10.0.18
Une vulnérabilité d'exécution de code à distance (RCE) a été découverte dans la bibliothèque @oneuptime/common, utilisée par OneUptime pour l'exécution de tests de sites web via des moniteurs synthétiques. Cette faille permet à un attaquant de contourner le sandbox Node.js et d'exécuter des commandes système arbitraires sur le conteneur oneuptime-probe. La version affectée est toute version antérieure à 10.0.18. Une mise à jour vers la version 10.0.18 corrige cette vulnérabilité.
L'impact de cette vulnérabilité est critique. Un attaquant peut exploiter la faille pour exécuter du code malveillant sur le serveur OneUptime, compromettant potentiellement l'ensemble de l'infrastructure. L'attaquant peut accéder aux informations d'identification de la base de données et du cluster stockées dans les variables d'environnement du conteneur oneuptime-probe, permettant un mouvement latéral et un accès non autorisé à d'autres systèmes. Cette vulnérabilité présente des similitudes avec les attaques exploitant les faiblesses des modules Node.js vm, où un code malveillant peut être injecté et exécuté avec les privilèges du processus.
Cette vulnérabilité est considérée comme critique en raison de sa facilité d'exploitation et de son impact potentiel. Bien qu'il n'y ait pas de preuves d'exploitation active à ce jour, la disponibilité d'une preuve de concept (PoC) publique augmente le risque d'exploitation. La vulnérabilité a été publiée le 2026-03-07 et a été ajoutée au catalogue KEV de CISA (KEV).
Organizations utilizing OneUptime for website monitoring, particularly those with project members who have permissions to create and modify Synthetic Monitors, are at significant risk. Shared hosting environments where multiple users share the same OneUptime instance are especially vulnerable, as a compromised monitor could impact all users on the shared system.
• linux / server:
journalctl -u oneuptime-probe | grep -i "prototype chain"• nodejs:
ps aux | grep -i "oneuptime-probe" | grep -i "vm.Module"• generic web:
curl -I http://<oneuptime_url>/synthetic/monitors/ | grep -i "Content-Security-Policy"disclosure
patch
Statut de l'Exploit
EPSS
0.06% (percentile 17%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour immédiatement @oneuptime/common vers la version 10.0.18 ou supérieure. Si la mise à jour est problématique, envisagez de revenir à une version antérieure stable connue pour être non affectée. En attendant la mise à jour, il est recommandé de renforcer le sandbox Node.js en limitant les privilèges du processus oneuptime-probe et en surveillant attentivement les journaux système pour détecter toute activité suspecte. La configuration d'un pare-feu d'application web (WAF) peut également aider à bloquer les tentatives d'exploitation.
Mettez à jour OneUptime à la version 10.0.18 ou supérieure. Cette version corrige la vulnérabilité d'exécution de code arbitraire en exécutant du code non sécurisé à l'intérieur du module Node.js vm. La mise à jour empêchera les membres du projet d'exécuter des commandes système arbitraires sur le conteneur oneuptime-probe.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-30887 is a critical Remote Code Execution vulnerability in OneUptime's Synthetic Monitors feature, allowing attackers to execute arbitrary code on the probe container.
If you are running OneUptime versions prior to 10.0.18, you are vulnerable to this RCE exploit. Upgrade immediately.
Upgrade OneUptime to version 10.0.18 or later to patch the vulnerability. Consider isolating the probe container as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation in the near future.
Refer to the OneUptime security advisory on their official website or GitHub repository for detailed information and mitigation guidance.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.