Plateforme
other
Composant
oneuptime
Corrigé dans
10.0.43
CVE-2026-34758 est une vulnérabilité d'accès non authentifié affectant OneUptime. Elle permet l'abus de SMS, d'appels, d'emails et de WhatsApp, ainsi que l'achat de numéros de téléphone. Les versions affectées sont celles inférieures à 10.0.42. Cette vulnérabilité a été corrigée dans la version 10.0.42.
La vulnérabilité CVE-2026-34758 dans OneUptime permet un accès non authentifié aux points de terminaison de test de notification et de gestion des numéros de téléphone. Cela permet l'abus des SMS, des appels, des e-mails et de WhatsApp, ainsi que l'achat de numéros de téléphone. L'absence d'authentification expose le système à des abus potentiels, notamment des campagnes de spam, des activités frauduleuses et des attaques par déni de service (DoS) en inondant le système de notifications indésirables. La possibilité d'acquérir des numéros de téléphone via le système aggrave encore le risque, permettant aux acteurs malveillants de créer de faux comptes ou de lancer des attaques de phishing ciblées.
Un attaquant peut exploiter cette vulnérabilité sans avoir besoin d'identifiants. En envoyant de simples requêtes HTTP aux points de terminaison de test de notification et de gestion des numéros de téléphone, il peut déclencher l'envoi de SMS, d'appels, d'e-mails ou de messages WhatsApp. La facilité d'accès rend cette vulnérabilité particulièrement préoccupante, car elle permet même aux attaquants ayant peu d'expertise technique de lancer des attaques. L'exploitation automatisée est également possible, ce qui peut entraîner un volume élevé de trafic malveillant et des perturbations importantes.
Organizations utilizing OneUptime for monitoring and observability, particularly those with publicly accessible instances or those that have not implemented robust access controls for their notification and phone number management systems, are at significant risk. Shared hosting environments using OneUptime are also particularly vulnerable.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mitigation recommandée pour CVE-2026-34758 est de mettre immédiatement à jour OneUptime vers la version 10.0.42 ou ultérieure. Cette version intègre des exigences d'authentification pour les points de terminaison affectés, empêchant ainsi efficacement l'accès non autorisé. De plus, examinez la configuration de sécurité de OneUptime, y compris les règles de pare-feu et les systèmes de détection d'intrusion, afin de surveiller et de bloquer les activités suspectes. Examinez les journaux du système à la recherche de tentatives d'accès non autorisé avant la mise à jour afin d'identifier d'éventuels compromis. Des audits de sécurité réguliers et des analyses de vulnérabilité sont également recommandés pour maintenir un environnement sécurisé.
Actualice OneUptime a la versión 10.0.42 o superior. Esta versión corrige la falta de autenticación en los endpoints de notificación, previniendo el abuso de SMS/Llamadas/Email/WhatsApp y la compra no autorizada de números de teléfono.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
En attendant, mettez en œuvre des règles de pare-feu pour bloquer l'accès public aux points de terminaison affectés. Surveillez les journaux du système à la recherche d'activités suspectes.
Oui, toutes les installations de OneUptime exécutant des versions antérieures à 10.0.42 sont vulnérables.
Vous pouvez vérifier la version de OneUptime en accédant à l'interface d'administration ou en consultant les journaux du système.
Examinez votre configuration de sécurité globale de OneUptime, y compris la gestion des utilisateurs et les paramètres d'autorisation.
Vous pouvez trouver plus d'informations sur la page CVE-2026-34758 dans les bases de données de vulnérabilités telles que le NIST NVD.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.