プラットフォーム
nodejs
コンポーネント
oneuptime
修正版
10.0.43
OneUptime Monitoring Platformのバージョン10.0.42以前には、Workerサービス内のManualAPIに認証ミドルウェアのないワークフロー実行エンドポイントが存在します。この脆弱性により、攻撃者はワークフローIDを推測することで、悪意のある入力を利用してワークフローを実行し、JavaScriptコードの実行、通知の悪用、データ操作を引き起こす可能性があります。影響を受けるバージョンは10.0.42以前であり、バージョン10.0.42へのアップデートで修正されています。
この脆弱性は、認証なしでワークフローを実行できるため、深刻な影響をもたらす可能性があります。攻撃者は、ワークフローIDを推測することで、任意のコードを実行し、システムを制御する可能性があります。具体的には、悪意のあるJavaScriptコードを注入して、機密情報を盗んだり、システム設定を変更したり、他のシステムへの攻撃の足がかりにしたりすることが考えられます。また、通知機能を悪用して、大量のスパムメールを送信したり、誤った情報を広めたりすることも可能です。データ操作の可能性も存在し、監視データを改ざんして、システムの健全性を偽装する可能性があります。
この脆弱性は、2026年4月2日に公開されました。現時点では、公開されているPoCは確認されていませんが、認証なしでワークフローを実行できるため、悪用される可能性は高いと考えられます。CISA KEVカタログへの登録状況は不明です。攻撃者は、ワークフローIDを推測することで容易に脆弱性を悪用できる可能性があるため、早急な対応が必要です。
Organizations utilizing OneUptime for monitoring and observability, particularly those with publicly accessible instances or those who have not implemented robust network segmentation, are at significant risk. Shared hosting environments where OneUptime is deployed alongside other applications are also vulnerable, as an attacker could potentially exploit this vulnerability to gain access to other tenants.
• nodejs: Monitor OneUptime logs for unusual workflow execution patterns or errors related to JavaScript execution. Use npm audit to check for dependencies with known vulnerabilities.
• generic web: Monitor access logs for requests to /workflow/manual/run/:workflowId originating from unexpected IP addresses. Check response headers for signs of unauthorized code execution.
• linux / server: Use lsof or ss to identify any unexpected processes accessing the OneUptime Worker service. Examine system files for modifications or suspicious scripts.
disclosure
エクスプロイト状況
EPSS
0.12% (31% パーセンタイル)
CISA SSVC
この脆弱性への対応として、まずOneUptime Monitoring Platformをバージョン10.0.42以上にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、ワークフロー実行エンドポイントへのアクセスを制限するファイアウォールルールを実装するか、プロキシサーバーを使用してアクセスを制御することを検討してください。また、ワークフローの入力検証を強化し、悪意のあるコードの実行を防ぐための対策を講じることも有効です。アップデート後、ワークフローの実行ログを確認し、不正なアクセスがないか確認してください。
OneUptimeをバージョン10.0.42以降にアップデートしてください。このバージョンは、認証されていないワークフロー実行を可能にする脆弱性を修正します。アップデートにより、攻撃者が任意のJavaScriptコードを実行したり、通知を悪用したり、データを操作したりすることを防ぎます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-35053は、OneUptime Monitoring Platformのバージョン10.0.42以前に存在する、認証なしでワークフローを実行できる脆弱性です。攻撃者はワークフローIDを推測することで、悪意のあるJavaScriptコードを実行できます。
OneUptime Monitoring Platformのバージョンが10.0.42以前の場合は、影響を受けます。バージョン10.0.42以上にアップデートしてください。
OneUptime Monitoring Platformをバージョン10.0.42以上にアップデートしてください。アップデートがすぐに利用できない場合は、ワークフロー実行エンドポイントへのアクセスを制限するファイアウォールルールを実装してください。
現時点では、公開されているPoCは確認されていませんが、悪用される可能性は高いと考えられます。
OneUptimeの公式アドバイザリは、OneUptimeのウェブサイトまたはセキュリティニュースレターで確認してください。