Platform
nodejs
Component
@oneuptime/common
Opgelost in
10.0.19
10.0.19
10.0.18
CVE-2026-30887 is een kritieke Remote Code Execution (RCE) kwetsbaarheid in de @oneuptime/common bibliotheek, gebruikt in OneUptime. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde code uit te voeren op de server. De kwetsbaarheid beïnvloedt versies van @oneuptime/common die ouder zijn dan 10.0.18. Een patch is beschikbaar en wordt sterk aangeraden.
De kwetsbaarheid in @oneuptime/common maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren op de server waarop OneUptime draait. Dit komt doordat de code die door gebruikers wordt ingevoerd in Synthetic Monitors niet correct wordt gesandboxed. Een aanvaller kan een prototype-chain escape gebruiken om de sandbox te omzeilen en toegang te krijgen tot de Node.js process object, waardoor ze systeemcommando's kunnen uitvoeren. Aangezien de OneUptime probe database- en clustercredentials in omgevingsvariabelen opslaat, kan een succesvolle exploit leiden tot volledige controle over de OneUptime omgeving en de daaraan gekoppelde databases. Dit is vergelijkbaar met exploits die sandbox-omzeiling in JavaScript-engines benutten om systeemtoegang te verkrijgen.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-03-07. Er zijn momenteel geen bekende actieve campagnes die deze kwetsbaarheid uitbuiten, maar de kritieke ernst en de relatieve eenvoud van de exploitatie maken het waarschijnlijk dat dit in de toekomst zal gebeuren. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. Er zijn publieke proof-of-concept exploits beschikbaar, wat de kans op misbruik vergroot.
Organizations utilizing OneUptime for website monitoring, particularly those with project members who have permissions to create and modify Synthetic Monitors, are at significant risk. Shared hosting environments where multiple users share the same OneUptime instance are especially vulnerable, as a compromised monitor could impact all users on the shared system.
• linux / server:
journalctl -u oneuptime-probe | grep -i "prototype chain"• nodejs:
ps aux | grep -i "oneuptime-probe" | grep -i "vm.Module"• generic web:
curl -I http://<oneuptime_url>/synthetic/monitors/ | grep -i "Content-Security-Policy"disclosure
patch
Exploit Status
EPSS
0.06% (17% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-30887 is het upgraden van @oneuptime/common naar versie 10.0.18 of hoger. Als een directe upgrade onmogelijk is, overweeg dan tijdelijke maatregelen zoals het uitschakelen van Synthetic Monitors of het beperken van de rechten van de gebruiker die de monitors uitvoert. Implementeer een Web Application Firewall (WAF) om verdachte patronen in de inkomende verzoeken te detecteren en te blokkeren. Controleer de OneUptime logs op ongebruikelijke activiteiten, zoals pogingen om systeemcommando's uit te voeren. Na de upgrade, verifieer de fix door een Synthetic Monitor te creëren die probeert code uit te voeren en controleer of deze wordt geblokkeerd.
Werk OneUptime bij naar versie 10.0.18 of hoger. Deze versie corrigeert de kwetsbaarheid van willekeurige code-uitvoering door onveilige code uit te voeren binnen de Node.js vm module. De update voorkomt dat projectleden willekeurige systeemcommando's uitvoeren op de oneuptime-probe container.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-30887 is a critical Remote Code Execution vulnerability in OneUptime's Synthetic Monitors feature, allowing attackers to execute arbitrary code on the probe container.
If you are running OneUptime versions prior to 10.0.18, you are vulnerable to this RCE exploit. Upgrade immediately.
Upgrade OneUptime to version 10.0.18 or later to patch the vulnerability. Consider isolating the probe container as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation in the near future.
Refer to the OneUptime security advisory on their official website or GitHub repository for detailed information and mitigation guidance.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.