OneUptimeはオープンソースの監視・可観測性プラットフォームです。CVE-2026-34758は、認証されていないユーザーが通知テストや電話番号管理エンドポイントにアクセスし、SMS、通話、メール、WhatsAppを悪用したり、電話番号を購入したりできる脆弱性です。この脆弱性はバージョン10.0.42未満に影響します。バージョン10.0.42で修正されています。
OneUptime の CVE-2026-34758 は、認証なしで通知テストおよび電話番号管理エンドポイントにアクセスできる脆弱性です。これにより、SMS、通話、Eメール、WhatsApp の悪用、および電話番号の購入が可能になります。認証の欠如により、システムは潜在的な悪用、スパムキャンペーン、不正行為、および不要な通知でシステムを氾濫させることで、サービス拒否 (DoS) 攻撃にさらされる可能性があります。システムを通じて電話番号を取得できることは、悪意のある攻撃者が偽の口座を作成したり、標的型フィッシング攻撃を開始したりする可能性をさらに高めます。
攻撃者は、資格情報なしでこの脆弱性を悪用できます。通知テストおよび電話番号管理エンドポイントに単純な HTTP リクエストを送信するだけで、SMS、通話、Eメール、または WhatsApp メッセージの送信をトリガーできます。アクセスの容易さにより、この脆弱性は特に懸念されます。なぜなら、限られた技術的専門知識を持つ攻撃者でさえ攻撃を開始できるからです。自動化された悪用も可能であり、悪意のあるトラフィックの量が増加し、大きな混乱を引き起こす可能性があります。
Organizations utilizing OneUptime for monitoring and observability, particularly those with publicly accessible instances or those that have not implemented robust access controls for their notification and phone number management systems, are at significant risk. Shared hosting environments using OneUptime are also particularly vulnerable.
disclosure
エクスプロイト状況
EPSS
0.04% (12% パーセンタイル)
CISA SSVC
CVE-2026-34758 の推奨される軽減策は、OneUptime をバージョン 10.0.42 以降にすぐに更新することです。このバージョンは、影響を受けるエンドポイントに認証要件を組み込み、不正アクセスを効果的に防止します。さらに、ファイアウォールルールや侵入検知システムなど、OneUptime のセキュリティ構成を確認し、疑わしいアクティビティを監視およびブロックします。更新前にシステムのログを調べて、潜在的な侵害を特定します。安全な環境を維持するために、定期的なセキュリティ監査と脆弱性スキャンも推奨されます。
Actualice OneUptime a la versión 10.0.42 o superior. Esta versión corrige la falta de autenticación en los endpoints de notificación, previniendo el abuso de SMS/Llamadas/Email/WhatsApp y la compra no autorizada de números de teléfono.
脆弱性分析と重要アラートをメールでお届けします。
一時的な対策として、影響を受けるエンドポイントへのパブリックアクセスをブロックするファイアウォールルールを実装します。システムのログを監視して、疑わしいアクティビティを検出します。
はい、10.0.42 より前のバージョンを実行しているすべての OneUptime インストールが脆弱です。
管理インターフェースにアクセスするか、システムログを参照することで、OneUptime のバージョンを確認できます。
ユーザー管理と権限設定を含む、OneUptime の全体的なセキュリティ構成を確認してください。
NIST NVD などの脆弱性データベースの CVE-2026-34758 ページで詳細情報を入手できます。
CVSS ベクトル