Plateforme
nodejs
Composant
oneuptime
Corrigé dans
10.0.43
OneUptime est une plateforme open-source de surveillance et d'observabilité. Avant la version 10.0.42, plusieurs points d'extrémité de l'API de notification étaient enregistrés sans middleware d'authentification, contrairement à d'autres points d'extrémité du même code qui utilisent correctement ClusterKeyAuthorization.isAuthorizedServiceMiddleware. Ces points d'extrémité sont accessibles publiquement via le proxy Nginx à /notification/. Cette vulnérabilité permet à un attaquant non authentifié, combinée à une fuite de projectId provenant de l'API publique de la page de statut, d'acheter des numéros de téléphone sur le compte Twilio de la victime et de supprimer tous les numéros d'alerte existants. La vulnérabilité a été corrigée dans la version 10.0.42.
L'impact de cette vulnérabilité est significatif, car elle permet à un attaquant non authentifié de compromettre le système d'alerte de OneUptime. En exploitant cette faille, un attaquant peut acheter des numéros de téléphone sur le compte Twilio de l'organisation, ce qui peut entraîner des coûts financiers importants et une perturbation des opérations. De plus, la suppression des numéros d'alerte existants empêche l'équipe de surveillance de recevoir des notifications critiques concernant les problèmes de performance ou de disponibilité du système. La fuite du projectId, combinée à l'absence d'authentification, facilite grandement l'exploitation. Un attaquant pourrait potentiellement utiliser cette vulnérabilité pour masquer des activités malveillantes en désactivant les alertes, rendant la détection des incidents plus difficile. Le blast radius est limité au compte Twilio de l'organisation, mais les conséquences peuvent être graves.
La vulnérabilité CVE-2026-34759 a été publiée le 2 avril 2026. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la facilité d'accès aux points d'extrémité de l'API de notification et de la disponibilité d'informations sur la fuite du projectId. Il n'y a pas d'indication d'une exploitation active à l'heure actuelle, ni de Proof of Concept (POC) publics largement disponibles. La vulnérabilité n'est pas répertoriée sur KEV (Kernel Exploit Vulnerability Database) ni sur EPSS (Exploit Prediction Scoring System). Consultez le site web de OneUptime et les bulletins de sécurité pertinents pour obtenir des mises à jour.
Statut de l'Exploit
EPSS
0.11% (percentile 29%)
CISA SSVC
La mitigation principale consiste à mettre à niveau OneUptime vers la version 10.0.42 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, une solution de contournement consiste à restreindre l'accès au proxy Nginx à /notification/ en utilisant des règles de pare-feu ou des listes de contrôle d'accès (ACL). Il est également recommandé de surveiller attentivement l'activité du compte Twilio pour détecter toute activité suspecte, comme l'achat de numéros de téléphone non autorisés. Envisagez de mettre en œuvre une authentification multi-facteurs (MFA) sur le compte Twilio pour une sécurité accrue. Après la mise à niveau, vérifiez que les points d'extrémité de notification nécessitent une authentification en effectuant une requête non authentifiée à ces points d'extrémité et en confirmant que vous recevez une erreur d'autorisation.
Actualice OneUptime a la versión 10.0.42 o superior. Esta versión corrige las vulnerabilidades de autenticación en los endpoints de la API de notificaciones, evitando el abuso financiero, la interrupción del servicio y la exposición de credenciales SMTP.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité de contournement d'authentification dans OneUptime ≤ 10.0.42, permettant à un attaquant d'acheter des numéros de téléphone et de supprimer les alertes.
Si vous utilisez OneUptime version 10.0.42 ou inférieure, vous êtes potentiellement affecté. Vérifiez votre version actuelle.
Mettez à niveau OneUptime vers la version 10.0.42 ou supérieure. En attendant, restreignez l'accès au proxy Nginx.
À l'heure actuelle, il n'y a pas d'indication d'une exploitation active, mais la probabilité est considérée comme moyenne.
Consultez le site web de OneUptime, les bulletins de sécurité et les ressources de la communauté pour plus d'informations.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.