Plateforme
nodejs
Composant
oneuptime
Corrigé dans
10.0.22
Une vulnérabilité de type Path Traversal a été découverte dans OneUptime, une solution de monitoring et de gestion de services en ligne. Cette faille, présente dans les versions antérieures à 10.0.21, permet à un attaquant non authentifié de lire des fichiers arbitraires du système de fichiers du serveur. La correction de cette vulnérabilité est disponible dans la version 10.0.21.
L'exploitation réussie de cette vulnérabilité permet à un attaquant non authentifié d'accéder à des fichiers sensibles stockés sur le serveur OneUptime. Cela peut inclure des fichiers de configuration contenant des informations d'identification, des clés API, ou d'autres données confidentielles. L'attaquant pourrait également accéder à des fichiers contenant du code source, des journaux d'activité, ou des données de monitoring, offrant ainsi une vue d'ensemble du système surveillé. Le risque est aggravé par le fait que l'accès est possible sans authentification, ce qui rend la vulnérabilité facilement exploitable.
Cette vulnérabilité a été rendue publique le 2026-03-10. Aucune preuve d'exploitation active n'est actuellement disponible, mais la simplicité de l'exploitation et l'absence d'authentification rendent cette vulnérabilité potentiellement dangereuse. Il est recommandé de la traiter avec une priorité élevée. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
Organizations utilizing OneUptime for service monitoring and management, particularly those running versions prior to 10.0.21, are at risk. Shared hosting environments where OneUptime is deployed alongside other applications are especially vulnerable, as a compromise of OneUptime could potentially lead to lateral movement and impact other tenants.
• nodejs / server:
find /var/log/oneuptime -type f -name '*.log' | grep -i "/workflow/docs/" • generic web:
curl -I 'http://<oneuptime_ip>/workflow/docs/../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
Statut de l'Exploit
EPSS
0.14% (percentile 35%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour OneUptime vers la version 10.0.21 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, une solution temporaire pourrait être de restreindre l'accès à l'endpoint /workflow/docs/:componentName via un pare-feu ou un proxy inverse. Il est également recommandé de surveiller les journaux d'accès pour détecter toute tentative d'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez que l'accès à l'endpoint est correctement restreint et que les fichiers sensibles ne sont plus accessibles.
Mettez à jour OneUptime à la version 10.0.21 ou supérieure. Cette version corrige la vulnérabilité de traversal de chemin qui permet la lecture de fichiers arbitraires sans authentification. La mise à jour peut être effectuée via le tableau de bord d'administration de OneUptime ou en suivant les instructions de mise à jour fournies par le fournisseur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-30958 is a Path Traversal vulnerability affecting OneUptime versions before 10.0.21. It allows unauthenticated attackers to read arbitrary files from the server's filesystem.
Yes, if you are running OneUptime version 10.0.21 or earlier, you are vulnerable to this Path Traversal vulnerability.
Upgrade OneUptime to version 10.0.21 or later to resolve this vulnerability. Consider WAF rules as a temporary mitigation.
Currently, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation suggests potential for future attacks.
Refer to the OneUptime official security advisory for detailed information and updates regarding CVE-2026-30958.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.