Plateforme
nodejs
Composant
oneuptime
Corrigé dans
10.0.43
Une vulnérabilité d'exécution de code JavaScript (RCE) a été découverte dans OneUptime, une plateforme de monitoring open-source. Avant la version 10.0.42, les points d'accès d'exécution de workflows du service Worker (GET /workflow/manual/run/:workflowId et POST /workflow/manual/run/:workflowId) sont exposés sans authentification. Un attaquant capable d'obtenir ou de deviner un ID de workflow peut déclencher l'exécution de workflows arbitraires, affectant les versions inférieures ou égales à 10.0.42. La vulnérabilité a été corrigée dans la version 10.0.42.
Cette vulnérabilité permet à un attaquant d'exploiter l'absence d'authentification pour exécuter des workflows arbitraires au sein de OneUptime. L'attaquant peut ainsi injecter des données malveillantes dans les paramètres de workflow, ce qui peut conduire à l'exécution de code JavaScript sur le serveur OneUptime. Les conséquences potentielles sont graves : manipulation de données de monitoring, abus des notifications (envoi de notifications frauduleuses), et, plus grave encore, exécution de code arbitraire permettant de compromettre l'ensemble du système. Un attaquant pourrait potentiellement utiliser cette vulnérabilité pour obtenir un accès non autorisé à des informations sensibles ou pour lancer des attaques contre d'autres systèmes connectés.
Cette vulnérabilité a été rendue publique le 2026-04-02. Il n'y a pas d'indications d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation et de l'absence d'authentification. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement, augmentant le risque d'exploitation.
Organizations utilizing OneUptime for monitoring and observability, particularly those with publicly accessible instances or those who have not implemented robust network segmentation, are at significant risk. Shared hosting environments where OneUptime is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other tenants.
• nodejs: Monitor OneUptime logs for unusual workflow execution patterns or errors related to JavaScript execution. Use npm audit to check for dependencies with known vulnerabilities.
• generic web: Monitor access logs for requests to /workflow/manual/run/:workflowId originating from unexpected IP addresses. Check response headers for signs of unauthorized code execution.
• linux / server: Use lsof or ss to identify any unexpected processes accessing the OneUptime Worker service. Examine system files for modifications or suspicious scripts.
disclosure
Statut de l'Exploit
EPSS
0.12% (percentile 31%)
CISA SSVC
La mitigation immédiate consiste à mettre à jour OneUptime vers la version 10.0.42 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, une solution de contournement temporaire consiste à implémenter une authentification robuste pour les points d'accès /workflow/manual/run/:workflowId. Cela peut être réalisé en utilisant un pare-feu d'application web (WAF) pour bloquer les requêtes non authentifiées ou en configurant un proxy inverse pour appliquer une authentification avant de transmettre les requêtes au service Worker. Il est également recommandé de surveiller les journaux d'accès et d'erreurs pour détecter toute activité suspecte, comme des tentatives d'exécution de workflows non autorisées. Après la mise à jour, vérifiez que l'authentification est correctement appliquée aux points d'accès de workflow en tentant d'accéder à ces points sans authentification.
Mettez à jour OneUptime à la version 10.0.42 ou supérieure. Cette version corrige la vulnérabilité permettant l'exécution de workflows non authentifiés. La mise à jour empêchera les attaquants d'exécuter du code (JavaScript) arbitraire, d'abuser des notifications ou de manipuler des données.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35053 décrit une vulnérabilité d'exécution de code JavaScript dans OneUptime, permettant l'exécution de workflows arbitraires sans authentification avant la version 10.0.42.
Vous êtes affecté si vous utilisez OneUptime version 10.0.42 ou inférieure. Vérifiez votre version actuelle et mettez à jour si nécessaire.
La solution est de mettre à jour OneUptime vers la version 10.0.42 ou supérieure. En attendant, implémentez une authentification robuste pour les points d'accès de workflow.
Bien qu'il n'y ait pas de confirmation d'exploitation active à ce jour, la probabilité est considérée comme moyenne en raison de la simplicité de l'exploitation et de l'absence d'authentification.
Consultez le site web officiel de OneUptime ou leur page de sécurité pour obtenir l'avis officiel concernant CVE-2026-35053.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.