प्लेटफ़ॉर्म
nodejs
घटक
@oneuptime/common
में ठीक किया गया
10.0.19
10.0.19
10.0.18
CVE-2026-30887 @oneuptime/common में एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह भेद्यता हमलावरों को Synthetic Monitors के माध्यम से निष्पादित होने वाले अविश्वसनीय कोड के Sandbox को बायपास करने और अंतर्निहित Node.js प्रक्रिया पर मनमाना सिस्टम कमांड चलाने की अनुमति देती है। यह भेद्यता @oneuptime/common के 10.0.17 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, तुरंत संस्करण 10.0.18 में अपग्रेड करें।
यह भेद्यता हमलावरों के लिए विशेष रूप से खतरनाक है क्योंकि यह उन्हें OneUptime Probe कंटेनर के भीतर मनमाना कोड निष्पादित करने की अनुमति देती है। चूंकि Probe डेटाबेस/क्लस्टर क्रेडेंशियल्स को अपने पर्यावरण चर में रखता है, इसलिए यह भेद्यता सीधे डेटा तक अनधिकृत पहुंच और संभावित रूप से अन्य सिस्टम पर पार्श्व आंदोलन की ओर ले जाती है। एक हमलावर सिस्टम पर पूर्ण नियंत्रण प्राप्त कर सकता है, जिससे डेटा चोरी, सिस्टम समझौता और अन्य दुर्भावनापूर्ण गतिविधियां हो सकती हैं। यह भेद्यता Log4Shell जैसे शोषण पैटर्न के समान है, जहां एक साधारण अनुरोध एक गंभीर सुरक्षा उल्लंघन का कारण बन सकता है।
CVE-2026-30887 को अभी तक KEV में जोड़ा नहीं गया है, लेकिन इसका उच्च CVSS स्कोर (9.9) इंगित करता है कि इसका शोषण उच्च संभावना के साथ किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) मौजूद हैं, जो भेद्यता के शोषण को और आसान बनाते हैं। 2026-03-07 को सार्वजनिक रूप से खुलासा किया गया था। सक्रिय अभियान की जानकारी अभी तक उपलब्ध नहीं है।
Organizations utilizing OneUptime for website monitoring, particularly those with project members who have permissions to create and modify Synthetic Monitors, are at significant risk. Shared hosting environments where multiple users share the same OneUptime instance are especially vulnerable, as a compromised monitor could impact all users on the shared system.
• linux / server:
journalctl -u oneuptime-probe | grep -i "prototype chain"• nodejs:
ps aux | grep -i "oneuptime-probe" | grep -i "vm.Module"• generic web:
curl -I http://<oneuptime_url>/synthetic/monitors/ | grep -i "Content-Security-Policy"disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.06% (17% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-30887 के लिए प्राथमिक शमन उपाय @oneuptime/common को संस्करण 10.0.18 में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके Synthetic Monitors के माध्यम से निष्पादित होने वाले कोड को सीमित करने का प्रयास कर सकते हैं। इसके अतिरिक्त, सुनिश्चित करें कि OneUptime Probe कंटेनर को न्यूनतम आवश्यक विशेषाधिकारों के साथ चलाया जाता है और डेटाबेस/क्लस्टर क्रेडेंशियल्स को सुरक्षित रूप से संग्रहीत किया जाता है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, Synthetic Monitors के माध्यम से अविश्वसनीय कोड निष्पादित करने का प्रयास करके और यह सुनिश्चित करके कि कोई सिस्टम कमांड निष्पादित नहीं किया जा रहा है।
OneUptime को संस्करण 10.0.18 या उच्चतर में अपडेट करें। यह संस्करण Node.js vm मॉड्यूल के अंदर असुरक्षित कोड निष्पादित करके मनमाना कोड निष्पादन भेद्यता को ठीक करता है। अपडेट से प्रोजेक्ट सदस्यों को oneuptime-probe कंटेनर पर मनमाना सिस्टम कमांड निष्पादित करने से रोका जाएगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-30887 @oneuptime/common में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो हमलावरों को मनमाना सिस्टम कमांड चलाने की अनुमति देती है।
यदि आप @oneuptime/common के 10.0.17 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
CVE-2026-30887 को ठीक करने के लिए, @oneuptime/common को संस्करण 10.0.18 में अपग्रेड करें।
सार्वजनिक PoC उपलब्ध होने के कारण, इसका शोषण उच्च संभावना के साथ किया जा सकता है।
कृपया @oneuptime की वेबसाइट पर आधिकारिक सलाहकार देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।