प्लेटफ़ॉर्म
nodejs
घटक
oneuptime
में ठीक किया गया
10.0.36
CVE-2026-33396 OneUptime में पाई गई एक गंभीर भेद्यता है। यह भेद्यता एक कम विशेषाधिकार प्राप्त उपयोगकर्ता को सिंथेटिक मॉनिटर स्क्रिप्ट निष्पादन का दुरुपयोग करके रिमोट कमांड निष्पादन (RCE) प्राप्त करने की अनुमति देती है। इससे सिस्टम से समझौता हो सकता है। प्रभावित संस्करण 10.0.35 से पहले के हैं। इस भेद्यता को संस्करण 10.0.35 में ठीक किया गया है।
OneUptime में CVE-2026-33396 एक निम्न-विशेषाधिकार प्राप्त प्रमाणित उपयोगकर्ता (ProjectMember) को सिंथेटिक मॉनिटर प्लेराइट स्क्रिप्ट निष्पादन का दुरुपयोग करके Probe कंटेनर/होस्ट पर रिमोट कमांड निष्पादित करने की अनुमति देता है। सिंथेटिक मॉनिटर कोड VMRunner.runCodeInNodeVM में एक लाइव प्लेराइट पेज ऑब्जेक्ट के संदर्भ में निष्पादित किया जाता है। सैंडबॉक्स अवरुद्ध गुणों/विधियों की अस्वीकृति सूची पर निर्भर करता है, लेकिन यह सूची अधूरी है। विशेष रूप से, _browserType और launch का उपयोग मनमाना कोड निष्पादित करने के लिए किया जा सकता है।
ProjectMember के रूप में प्रमाणित एक्सेस रखने वाला एक हमलावर एक दुर्भावनापूर्ण प्लेराइट स्क्रिप्ट के साथ एक सिंथेटिक मॉनिटर बना सकता है। जब यह स्क्रिप्ट VMRunner.runCodeInNodeVM वातावरण के भीतर निष्पादित होती है, तो यह _browserType और launch पर प्रतिबंधों की कमी का लाभ उठा सकती है, जिससे Probe कंटेनर या अंतर्निहित होस्ट पर मनमाना कमांड निष्पादित किया जा सकता है। ProjectMember के रूप में प्रमाणीकरण की आसानी इस भेद्यता को विशेष रूप से चिंताजनक बनाती है।
Organizations utilizing OneUptime for monitoring and observability, particularly those with ProjectMember roles that have the ability to create or modify Synthetic Monitors, are at risk. Shared hosting environments where multiple users share access to the OneUptime instance are also particularly vulnerable, as a compromised ProjectMember account could impact the entire environment.
• nodejs / server:
ps aux | grep 'VMRunner.runCodeInNodeVM' | grep -i playwright• nodejs / server:
journalctl -u oneuptime -g 'Playwright script execution'• generic web:
Inspect OneUptime Synthetic Monitor Playwright scripts for suspicious code, particularly attempts to access or manipulate _browserType or launchServer properties.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.84% (75% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान OneUptime को संस्करण 10.0.35 या उच्चतर में अपग्रेड करना है। इस संस्करण में प्लेराइट निष्पादन वातावरण को मजबूत करने वाले फिक्स शामिल हैं, जो रिमोट कमांड निष्पादन के लिए उपयोग किए जा सकने वाले गुणों और विधियों को अधिक प्रभावी ढंग से अवरुद्ध करते हैं। शोषण के जोखिम को कम करने के लिए जल्द से जल्द अपग्रेड करने की अत्यधिक अनुशंसा की जाती है। इसके अतिरिक्त, सिंथेटिक निगरानी सुविधाओं तक पहुंच केवल आवश्यक उपयोगकर्ताओं को सुनिश्चित करने के लिए उपयोगकर्ता अनुमति कॉन्फ़िगरेशन की समीक्षा करें।
OneUptime को वर्जन (version) 10.0.35 या उससे ऊपर के वर्जन (version) में अपडेट (update) करें। इस वर्जन (version) में रिमोट कमांड एक्जीक्यूशन (remote command execution) भेद्यता के लिए एक फिक्स (fix) है। अपडेट (update) अनधिकृत उपयोगकर्ताओं को प्रोब (Probe) कंटेनर (container)/होस्ट (host) पर मनमाने कमांड (command) निष्पादित करने से रोकेगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
ProjectMember OneUptime में एक विशिष्ट परियोजना के भीतर सीमित विशेषाधिकारों वाला एक उपयोगकर्ता भूमिका है। उनके पास व्यवस्थापक विशेषाधिकार नहीं होते हैं, लेकिन यह इस भेद्यता का फायदा उठाने के लिए पर्याप्त हो सकता है।
आप कमांड लाइन में oneuptime version कमांड चलाकर या उपयोगकर्ता इंटरफ़ेस में संस्करण जानकारी देखकर अपने OneUptime संस्करण की जांच कर सकते हैं।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो विश्वसनीय उपयोगकर्ताओं को सिंथेटिक निगरानी सुविधाओं तक पहुंच को सीमित करने और संदिग्ध गतिविधि के लिए सिस्टम लॉग की बारीकी से निगरानी करने पर विचार करें।
वर्तमान में इस भेद्यता के शोषण का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। हालांकि, सिस्टम लॉग की निगरानी करना और असामान्य कमांड निष्पादन पैटर्न की तलाश करना संभावित हमलों की पहचान करने में मदद कर सकता है।
इसका मतलब है कि एक हमलावर भौतिक रूप से मौजूद होने की आवश्यकता के बिना रिमोट रूप से सिस्टम पर कमांड निष्पादित कर सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।