CRITICALCVE-2026-33396CVSS 10

OneUptime (CVE-2026-33396): RCE (Playwrightスクリプト)

Q: CVE-2026-33396 とは何ですか？（OneUptime）

ProjectMember は、特定のプロジェクト内で限られた権限を持つ OneUptime のユーザーロールです。管理者権限はありませんが、この脆弱性を悪用するのに十分な場合があります。

Q: OneUptime の CVE-2026-33396 による影響を受けていますか？

コマンドラインで `oneuptime version` コマンドを実行するか、ユーザーインターフェースでバージョン情報を確認することで、OneUptime のバージョンを確認できます。

Q: OneUptime の CVE-2026-33396 を修正するにはどうすればよいですか？

すぐにアップグレードできない場合は、信頼できるユーザーのみが合成モニタリング機能にアクセスできるように制限し、システムログを注意深く監視して疑わしいアクティビティがないか確認することを検討してください。

Q: CVE-2026-33396 は積極的に悪用されていますか？

現在、この脆弱性の悪用を検出するための特定のツールはありません。ただし、システムログを監視し、異常なコマンド実行パターンを検索することで、潜在的な攻撃を特定するのに役立ちます。

Q: CVE-2026-33396 に関する OneUptime の公式アドバイザリはどこで確認できますか？

これは、攻撃者が物理的に存在する必要なく、リモートでシステム上のコマンドを実行できることを意味します。

プラットフォーム

nodejs

コンポーネント

oneuptime

修正版

10.0.36

AI Confidence: highNVDEPSS 0.8%レビュー済み: 2026年3月

NVDで見る

保存

CVE-2026-33396は、OneUptimeにおけるRCEの脆弱性です。この脆弱性により、低権限の認証済みユーザーがSynthetic Monitor Playwrightスクリプト実行を悪用し、Probeコンテナ/ホスト上でリモートコマンドを実行できます。影響を受けるバージョンは10.0.35未満です。この問題は、サンドボックスの不備が原因です。この問題は、バージョン10.0.35で修正されました。

影響と攻撃シナリオ

OneUptime の CVE-2026-33396 は、低権限の認証済みユーザー (ProjectMember) が、合成モニターの Playwright スクリプト実行を悪用することで、Probe コンテナ/ホスト上でリモートコマンド実行を達成することを可能にします。合成モニターコードは VMRunner.runCodeInNodeVM 内で、ライブの Playwright ページオブジェクトのコンテキストで実行されます。サンドボックスはブロックされたプロパティ/メソッドの拒否リストに依存していますが、これは不完全です。具体的には、_browserType と launch を悪用して、任意のコードの実行を実現できます。

悪用の状況

ProjectMember として認証されたアクセス権を持つ攻撃者は、悪意のある Playwright スクリプトを使用した合成モニターを作成できます。このスクリプトは、VMRunner.runCodeInNodeVM 環境内で実行されると、_browserType と launch の制限がないことを利用して、Probe コンテナまたは基盤となるホスト上で任意のコマンドを実行できます。ProjectMember として認証するのが簡単であるため、この脆弱性は特に懸念されます。

リスク対象者翻訳中…

Organizations utilizing OneUptime for monitoring and observability, particularly those with ProjectMember roles that have the ability to create or modify Synthetic Monitors, are at risk. Shared hosting environments where multiple users share access to the OneUptime instance are also particularly vulnerable, as a compromised ProjectMember account could impact the entire environment.

検出手順翻訳中…

• nodejs / server:

ps aux | grep 'VMRunner.runCodeInNodeVM' | grep -i playwright

• nodejs / server:

journalctl -u oneuptime -g 'Playwright script execution'

• generic web: Inspect OneUptime Synthetic Monitor Playwright scripts for suspicious code, particularly attempts to access or manipulate _browserType or launchServer properties.

攻撃タイムライン

2026-03-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.84% (75% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントoneuptime

ベンダーOneUptime

影響範囲修正版

< 10.0.35 – < 10.0.3510.0.36

弱点分類 (CWE)

CWE-78 CWE-184 CWE-693

タイムライン

予約済み2026-03-19
公開日2026-03-26
EPSS 更新日2026-04-03

緩和策と回避策

この脆弱性に対する解決策は、OneUptime をバージョン 10.0.35 以降にアップグレードすることです。このバージョンには、Playwright 実行環境を強化し、リモートコマンド実行に使用できるプロパティとメソッドをより効果的にブロックする修正が含まれています。悪用のリスクを軽減するために、できるだけ早くアップグレードすることを強くお勧めします。さらに、ユーザー権限構成を調べて、必要なユーザーのみが合成モニタリング機能にアクセスできるようにしてください。

修正方法

OneUptime をバージョン 10.0.35 以降にアップデートしてください。このバージョンには、リモートコマンド実行の脆弱性に対する修正が含まれています。アップデートにより、承認されていないユーザーが Probe コンテナ/ホスト上で任意のコマンドを実行することを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33396 とは何ですか？（OneUptime）