प्लेटफ़ॉर्म
nodejs
घटक
oneuptime
में ठीक किया गया
10.0.22
CVE-2026-30958 OneUptime में एक पथ पारगमन भेद्यता है, जो ऑनलाइन सेवाओं की निगरानी और प्रबंधन के लिए एक समाधान है। इस भेद्यता के कारण, हमलावर अनधिकृत रूप से सर्वर फ़ाइल सिस्टम से मनमाना फ़ाइलें पढ़ सकते हैं। यह भेद्यता OneUptime के संस्करणों में मौजूद है जो 10.0.21 से कम या उसके बराबर हैं, और संस्करण 10.0.21 में इसे ठीक कर दिया गया है।
यह भेद्यता हमलावरों को OneUptime सर्वर पर संग्रहीत संवेदनशील जानकारी तक पहुंचने की अनुमति देती है। हमलावर कॉन्फ़िगरेशन फ़ाइलों, डेटाबेस क्रेडेंशियल्स या अन्य गोपनीय डेटा को उजागर कर सकते हैं। इस जानकारी का उपयोग आगे के हमलों को करने, सिस्टम को नियंत्रित करने या डेटा को चुराने के लिए किया जा सकता है। चूंकि भेद्यता प्रमाणीकरण के बिना शोषण की जा सकती है, इसलिए यह विशेष रूप से गंभीर है। इस तरह की भेद्यता का उपयोग करके, हमलावर सर्वर पर मनमाना कोड भी निष्पादित कर सकते हैं, जिससे सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है।
CVE-2026-30958 को अभी तक KEV में जोड़ा नहीं गया है। CVSS स्कोर 7.2 (HIGH) इंगित करता है कि भेद्यता का शोषण मध्यम संभावना है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2026-03-10 को प्रकाशित की गई थी।
Organizations utilizing OneUptime for service monitoring and management, particularly those running versions prior to 10.0.21, are at risk. Shared hosting environments where OneUptime is deployed alongside other applications are especially vulnerable, as a compromise of OneUptime could potentially lead to lateral movement and impact other tenants.
• nodejs / server:
find /var/log/oneuptime -type f -name '*.log' | grep -i "/workflow/docs/" • generic web:
curl -I 'http://<oneuptime_ip>/workflow/docs/../../../../etc/passwd' # Attempt to access sensitive filesdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.14% (35% शतमक)
CISA SSVC
इस भेद्यता को कम करने के लिए, OneUptime को संस्करण 10.0.21 या बाद के संस्करण में तुरंत अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके /workflow/docs/:componentName एंडपॉइंट तक पहुंच को प्रतिबंधित कर सकते हैं। सुनिश्चित करें कि फ़ाइल पथों को संसाधित करते समय उचित सैनिटाइजेशन और प्रमाणीकरण लागू किया गया है। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त करें ताकि केवल अधिकृत उपयोगकर्ताओं के पास संवेदनशील फ़ाइलों तक पहुंच हो। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, /workflow/docs/:componentName एंडपॉइंट पर मनमाना फ़ाइलें पढ़ने का प्रयास करके।
Actualice OneUptime a la versión 10.0.21 o superior. Esta versión corrige la vulnerabilidad de path traversal que permite la lectura de archivos arbitrarios sin autenticación. La actualización se puede realizar a través del panel de administración de OneUptime o siguiendo las instrucciones de actualización proporcionadas por el proveedor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-30958 OneUptime में एक पथ पारगमन भेद्यता है जो हमलावरों को सर्वर फ़ाइल सिस्टम से मनमाना फ़ाइलें पढ़ने की अनुमति देती है।
यदि आप OneUptime के संस्करण 10.0.21 से कम या उसके बराबर संस्करण चला रहे हैं, तो आप प्रभावित हैं।
OneUptime को संस्करण 10.0.21 या बाद के संस्करण में अपग्रेड करें।
CVE-2026-30958 का सक्रिय शोषण अभी तक ज्ञात नहीं है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
कृपया OneUptime की आधिकारिक वेबसाइट पर जाएं या उनके सुरक्षा सलाहकार अनुभाग देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।