Plateforme
nodejs
Composant
oneuptime
Corrigé dans
10.0.36
CVE-2026-33396 est une vulnérabilité d'exécution de code à distance (RCE) affectant OneUptime. Un utilisateur authentifié avec des privilèges faibles (ProjectMember) peut exécuter des commandes arbitraires sur le conteneur/hôte Probe. Cette vulnérabilité affecte les versions de OneUptime inférieures à 10.0.35. La version 10.0.35 corrige ce problème.
La vulnérabilité CVE-2026-33396 dans OneUptime permet à un utilisateur authentifié de faible privilège (ProjectMember) d'exécuter des commandes à distance sur le conteneur/hôte Probe en abusant de l'exécution de scripts Playwright dans les Moniteurs Synthétiques. Le code du moniteur synthétique est exécuté dans VMRunner.runCodeInNodeVM avec un objet de page Playwright actif dans le contexte. Le sandbox repose sur une liste de déni de propriétés/méthodes bloquées, mais cette liste est incomplète. Spécifiquement, _browserType et launch peuvent être exploités pour obtenir une exécution de code arbitraire.
Un attaquant disposant d'un accès authentifié en tant que ProjectMember peut créer un moniteur synthétique avec un script Playwright malveillant. Ce script, lorsqu'il est exécuté dans l'environnement VMRunner.runCodeInNodeVM, peut exploiter le manque de restrictions sur _browserType et launch pour exécuter des commandes arbitraires sur le conteneur Probe ou même sur l'hôte sous-jacent. La facilité d'authentification en tant que ProjectMember rend cette vulnérabilité particulièrement préoccupante.
Organizations utilizing OneUptime for monitoring and observability, particularly those with ProjectMember roles that have the ability to create or modify Synthetic Monitors, are at risk. Shared hosting environments where multiple users share access to the OneUptime instance are also particularly vulnerable, as a compromised ProjectMember account could impact the entire environment.
• nodejs / server:
ps aux | grep 'VMRunner.runCodeInNodeVM' | grep -i playwright• nodejs / server:
journalctl -u oneuptime -g 'Playwright script execution'• generic web:
Inspect OneUptime Synthetic Monitor Playwright scripts for suspicious code, particularly attempts to access or manipulate _browserType or launchServer properties.
disclosure
Statut de l'Exploit
EPSS
0.84% (percentile 75%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à niveau OneUptime vers la version 10.0.35 ou supérieure. Cette version inclut des correctifs qui renforcent l'environnement d'exécution de Playwright, en bloquant plus efficacement les propriétés et les méthodes qui peuvent être utilisées pour l'exécution de commandes à distance. Il est fortement recommandé de mettre à niveau dès que possible pour atténuer le risque d'exploitation. De plus, examinez les configurations de permissions utilisateur pour vous assurer que seuls les utilisateurs nécessaires ont accès aux fonctionnalités de surveillance synthétique.
Actualice OneUptime a la versión 10.0.35 o superior. Esta versión contiene una corrección para la vulnerabilidad de ejecución remota de comandos. La actualización evitará que usuarios no autorizados ejecuten comandos arbitrarios en el contenedor/host Probe.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un ProjectMember est un rôle d'utilisateur dans OneUptime avec des permissions limitées au sein d'un projet spécifique. Bien qu'ils n'aient pas de privilèges administratifs, ils peuvent être suffisants pour exploiter cette vulnérabilité.
Vous pouvez vérifier votre version de OneUptime en exécutant la commande oneuptime version dans la ligne de commande ou en consultant les informations de version dans l'interface utilisateur.
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de limiter l'accès aux fonctionnalités de surveillance synthétique aux utilisateurs de confiance et de surveiller de près les journaux système à la recherche d'activités suspectes.
Actuellement, il n'existe pas d'outils spécifiques pour détecter l'exploitation de cette vulnérabilité. Cependant, la surveillance des journaux système et la recherche de schémas d'exécution de commandes inhabituels peuvent aider à identifier les attaques potentielles.
Cela signifie qu'un attaquant peut exécuter des commandes sur un système à distance, sans avoir besoin d'être physiquement présent sur celui-ci.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.