मुफ्त स्कैन करें
HIGHCVE-2026-30958CVSS 7.2

OneUptime: पाथ ट्रावर्सल — मनमाना फ़ाइल रीड (नो ऑथ)

प्लेटफ़ॉर्म

nodejs

घटक

oneuptime

में ठीक किया गया

10.0.22

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-30958 OneUptime में एक पथ पारगमन भेद्यता है, जो ऑनलाइन सेवाओं की निगरानी और प्रबंधन के लिए एक समाधान है। इस भेद्यता के कारण, हमलावर अनधिकृत रूप से सर्वर फ़ाइल सिस्टम से मनमाना फ़ाइलें पढ़ सकते हैं। यह भेद्यता OneUptime के संस्करणों में मौजूद है जो 10.0.21 से कम या उसके बराबर हैं, और संस्करण 10.0.21 में इसे ठीक कर दिया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को OneUptime सर्वर पर संग्रहीत संवेदनशील जानकारी तक पहुंचने की अनुमति देती है। हमलावर कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस क्रेडेंशियल्स या अन्य गोपनीय डेटा को उजागर कर सकते हैं। इस जानकारी का उपयोग आगे के हमलों को करने, सिस्टम को नियंत्रित करने या डेटा को चुराने के लिए किया जा सकता है। चूंकि भेद्यता प्रमाणीकरण के बिना शोषण की जा सकती है, इसलिए यह विशेष रूप से गंभीर है। इस तरह की भेद्यता का उपयोग करके, हमलावर सर्वर पर मनमाना कोड भी निष्पादित कर सकते हैं, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है।

शोषण संदर्भ

CVE-2026-30958 को अभी तक KEV में जोड़ा नहीं गया है। CVSS स्कोर 7.2 (HIGH) इंगित करता है कि भेद्यता का शोषण मध्यम संभावना है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2026-03-10 को प्रकाशित की गई थी।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations utilizing OneUptime for service monitoring and management, particularly those running versions prior to 10.0.21, are at risk. Shared hosting environments where OneUptime is deployed alongside other applications are especially vulnerable, as a compromise of OneUptime could potentially lead to lateral movement and impact other tenants.

पहचान के चरणअनुवाद हो रहा है…

• nodejs / server:

find /var/log/oneuptime -type f -name '*.log' | grep -i "/workflow/docs/"

• generic web:

curl -I 'http://<oneuptime_ip>/workflow/docs/../../../../etc/passwd' # Attempt to access sensitive files

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.14% (35% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N7.2HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकoneuptime
विक्रेताOneUptime
प्रभावित श्रेणीमें ठीक किया गया
< 10.0.21 – < 10.0.2110.0.22

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, OneUptime को संस्करण 10.0.21 या बाद के संस्करण में तुरंत अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके /workflow/docs/:componentName एंडपॉइंट तक पहुंच को प्रतिबंधित कर सकते हैं। सुनिश्चित करें कि फ़ाइल पथों को संसाधित करते समय उचित सैनिटाइजेशन और प्रमाणीकरण लागू किया गया है। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि केवल अधिकृत उपयोगकर्ताओं के पास संवेदनशील फ़ाइलों तक पहुंच हो। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, /workflow/docs/:componentName एंडपॉइंट पर मनमाना फ़ाइलें पढ़ने का प्रयास करके।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice OneUptime a la versión 10.0.21 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la lectura de archivos arbitrarios sin autenticación. La actualización se puede realizar a través del panel de administración de OneUptime o siguiendo las instrucciones de actualización proporcionadas por el proveedor.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-30958 — पथ पारगमन OneUptime में क्या है?

CVE-2026-30958 OneUptime में एक पथ पारगमन भेद्यता है जो हमलावरों को सर्वर फ़ाइल सिस्टम से मनमाना फ़ाइलें पढ़ने की अनुमति देती है।

क्या मैं CVE-2026-30958 से OneUptime में प्रभावित हूं?

यदि आप OneUptime के संस्करण 10.0.21 से कम या उसके बराबर संस्करण चला रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2026-30958 से OneUptime को कैसे ठीक करूं?

OneUptime को संस्करण 10.0.21 या बाद के संस्करण में अपग्रेड करें।

क्या CVE-2026-30958 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-30958 का सक्रिय शोषण अभी तक ज्ञात नहीं है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।

मैं CVE-2026-30958 के लिए OneUptime के आधिकारिक सलाहकार कहां पा सकता हूं?

कृपया OneUptime की आधिकारिक वेबसाइट पर जाएं या उनके सुरक्षा सलाहकार अनुभाग देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें